Ransomware Petya-Mischa sa vrátil s vylepšenou verziou. Vychádza výlučne z predchádzajúceho produktu, ale používa úplne nový názov - Golden Eye.

Rovnako ako typický ransomware, aj nový variant Golden Eye bol prepustený, aby uniesol počítače nevinnej obete a vyzval ich, aby zaplatili. Zistilo sa, že jeho škodlivé triky sú takmer totožné s predchádzajúcimi verziami Petya-Mischa.

Väčšina používateľov je obozretná a presvedčená, že sotva by niekedy padli do pasce, ktorú stanovili útočníci škodlivého softvéru. Je však len otázkou času, kým narazíme na náraz, menší náraz, ktorý by mohol viesť k narušeniu bezpečnosti. To je potom, všetky malé podozrivé príznaky sú zrejmé, ale dovtedy bola škoda už spôsobená.

Veda o získavaní dôvery používateľov pomocou manipulatívnych a premyslených lží sa nazýva sociálne inžinierstvo. Je to tento prístup, ktorý počítačoví zločinci už mnoho rokov používajú na šírenie ransomwaru. A je to rovnaké, aké nasadil ransomware Golden Eye.

Akým spôsobom liek Golden Eye účinkuje?

Existujú správy, že malware bol prijatý, maskovaný ako žiadosť o prácu. Je umiestnená v priečinku spamu e-mailových účtov používateľa.

E-mail je nazvaný „Bewerbung“, čo znamená „aplikácia“. Dodáva sa s dvoma prílohami, ktoré obsahujú prílohy, ktoré sa považujú za súbory, dôležité pre správu. Súbor PDF - zdá sa, že ide o skutočne vyzerajúci životopis. A XLS (tabuľkový procesor Excel) - tu sa otvára modus operandi ransomware.

Na druhej strane pošty je fotografia tvrdeného žiadateľa. Končí zdvorilými pokynmi k excelovému spisu, v ktorom sa uvádza, že obsahuje významný materiál týkajúci sa žiadosti o zamestnanie. Žiadny výslovný dopyt, iba návrh najprirodzenejším možným spôsobom, ktorý ho udržiava tak formálny ako bežná žiadosť o zamestnanie.

Ak obeť padá na podvod a stlačí tlačidlo „Povoliť obsah“ v excelovom súbore, spustí sa makro. Po úspešnom spustení uloží vložené reťazce báz64 do spustiteľného súboru v dočasnom priečinku. Po vytvorení súboru sa spustí skript VBA a vyvolá proces šifrovania.

Rozdiely s Petya Mischa:

Proces šifrovania Golden Eye je trochu odlišný od Petya-Mishovho procesu. Golden Eye najskôr zašifruje súbory v počítači a potom sa pokúsi nainštalovať MBR (Master Boot Record). Potom ku každému súboru, na ktorý je zacielený, pripojí náhodné 8-znakové rozšírenie. Potom modifikuje proces zavádzania systému, čím robí počítač zbytočným obmedzením prístupu používateľov.

Potom ukazuje hrozivú výkupnú poznámku a násilne reštartuje systém. Falošná kontextová obrazovka CHKDSK, ktorá sa správa, ako keby opravovala niektoré problémy s pevným diskom.

Potom sa na obrazovke rozbije lebka a krížová kosť, vyrobené dramatickým umením ASCII. Aby ste sa uistili, že vám nič neunikne, vyžaduje sa stlačenie klávesu. Potom dostanete výslovné pokyny, ako zaplatiť požadovanú sumu.

Na obnovenie súborov budete musieť zadať svoj osobný kľúč na poskytnutý portál. Za prístup budete musieť zaplatiť 1 322 84506 bitcoínov, čo sa rovná 1019 $.

Nešťastné je, že pre tento ransomware zatiaľ nie je vydaný žiadny nástroj, ktorý by mohol dešifrovať jeho šifrovací algoritmus.