Ransomware Petya-Mischa se vrátil s vylepšenou verzí. Vychází výhradně z předchozího produktu, ale používá zcela nové jméno - Golden Eye.

Stejně jako typický ransomware byla nová varianta Golden Eye uvolněna, aby unesla počítače nevinné oběti a vyzvala je, aby zaplatili. Zjistilo se, že jeho škodlivé triky jsou téměř totožné s předchozími verzemi Petya-Mischa.

Většina uživatelů je obezřetná a je přesvědčena, že by sotva někdy upadli do pasti nastavené malwarovými útočníky. Ale je jen otázkou času, než narazíme na náraz, menší náraz, který by mohl vést k narušení bezpečnosti. To je pak, všechny malé podezřelé příznaky jsou zřejmé, ale do té doby již došlo k poškození.

Věda o získávání důvěry uživatelů pomocí manipulativních a předvídaných lží se tedy nazývá sociální inženýrství. Právě tento přístup kyberzločinci používají mnoho let k šíření ransomwaru. A je stejný jako ten, který nasadil ransomware Golden Eye.

Jak Golden Eye funguje?

Existují zprávy, že malware je přijat, maskovaný jako žádost o zaměstnání. Je umístěn ve složce spamu e-mailových účtů uživatele.

E-mail je nazván „Bewerbung“, což znamená „aplikace“. Dodává se se dvěma přílohami, které obsahují přílohy, které mají být soubory, důležité pro zprávu. Soubor PDF - zdá se, že se jedná o skutečně vypadající životopis. A XLS (tabulkový procesor Excel) - to je místo, kde se kopí modus operandi ransomware.

Na druhé straně pošty je fotografie tvrzeného žadatele. Končí zdvořilými pokyny k souboru Excel a uvádí, že obsahuje významný materiál týkající se žádosti o zaměstnání. Žádná výslovná poptávka, pouze návrh nejpřirozenějším možným způsobem, udržující ji tak formální jako běžná žádost o zaměstnání.

Pokud oběť padá na podvod a stiskne tlačítko „Povolit obsah“ v excelovém souboru, spustí se makro. Po úspěšném spuštění uloží vložené řetězce base64 do spustitelného souboru ve složce temp. Po vytvoření souboru se spustí skript VBA a vyvolá proces šifrování.

Rozdíly s Petya Mischa:

Proces šifrování Golden Eye je trochu odlišný od Petya-Misha. Golden Eye nejprve zašifruje soubory počítače a poté se pokusí nainstalovat MBR (Master Boot Record). Poté připojí náhodnou příponu 8 znaků do každého souboru, na který je zaměřen. Poté modifikuje proces spouštění systému, čímž činí počítač zbytečným omezením přístupu uživatelů.

Poté ukazuje hrozící výkupné a násilně restartuje systém. Falešná vyskakovací obrazovka CHKDSK, která funguje, jako by opravovala některé problémy s pevným diskem.

Poté na obrazovce záblesk lebky a křížové kosti, vytvořený dramatickým uměním ASCII. Abyste se ujistili, že vám neunikne, požádá vás, abyste stiskli klávesu. Poté obdržíte explicitní pokyny, jak zaplatit požadovanou částku.

Chcete-li obnovit soubory, musíte zadat svůj osobní klíč na poskytnutý portál. Za přístup k němu budete muset zaplatit 1 324 84506 bitcoinů, což se rovná 1019 $.

Co je nešťastné, zatím není k dispozici žádný nástroj pro tento ransomware, který by mohl dešifrovat jeho šifrovací algoritmus.