A Petya-Mischa ransomware visszatért a megújult verzióval. Kizárólag az előző termékre épül, de vadonatúj nevet használ - Golden Eye.

Mint egy tipikus váltságdíjas szoftvert, az Aranyszem új változatát lazán állítják el, hogy eltérítsék az ártatlan áldozatok számítógépeit, és sürgessék őket, hogy fizessenek be. Rosszindulatú trükköi szinte azonosak a Petya-Mischa korábbi verzióival.

A legtöbb felhasználó óvatos, és bízik abban, hogy alig fognak esni egy csapdába, amelyet rosszindulatú támadók állítanak fel. De csak idő kérdése, amíg egy ütést, egy kisebb ütést el nem érünk, ami a biztonság megsértéséhez vezethet. Ekkor minden kicsi gyanús jele nyilvánvalóvá válik, de addig a kár már megtörtént.

Tehát azt a tudományt, amely szerint manipulációs és megfontolt hazugságokkal kell megszerezni a felhasználók bizalmát, társadalomtechnikának hívják. Ezt a megközelítést használják a számítógépes bűnözők évek óta a ransomware terjesztésére. És ugyanaz, mint amelyet a Golden Eye a ransomware telepített.

Hogyan működik az Aranyszem?

Jelentések vannak arról, hogy a rosszindulatú szoftverek megérkeztek, és álcáztak munkalehetőségként. A felhasználó e-mail fiókjainak spam mappájában található.

Az e-mail címe „Bewerbung”, azaz „alkalmazás”. Két mellékletet tartalmaz, amelyek fájloknak szánt mellékleteket tartalmaznak, amelyek fontosak az üzenet számára. PDF fájl - valódi megjelenésűnek tűnik. És egy XLS (Excel táblázatkezelő) - itt jön be a ransomware működési módja.

A levél második oldalán az állítólagos kérelmező fényképe található. Az excel fájl udvarias utasításaival ér véget, kijelentve, hogy fontos anyagot tartalmaz a munkapályázathoz. Nincs kifejezett igény, csak egy javaslat a lehető legtermészetesebb módon, hivatalos formában tartva, mint egy rendszeres álláspályázat.

Ha az áldozat megtévesztés miatt esik, és megnyomja az „Enable Content” gombot az excel fájlban, akkor egy makró aktiválódik. A sikeres indítás után a beágyazott base64 karakterláncokat egy végrehajtható fájlba menti a temp mappába. A fájl létrehozásakor fut egy VBA szkript, amely előidézi a titkosítási folyamatot.

Különbségek Petya Mischa-val:

Az Golden Eye titkosítási folyamata kissé különbözik a Petya-Mishaétól. Az Golden Eye először titkosítja a számítógép fájljait, majd megpróbálja telepíteni az MBR-t (Master Boot Record). Ezután véletlenszerű 8 karakter kiterjesztést fűz hozzá minden megcélzott fájlhoz. Ezután módosítja a rendszer indítási folyamatát, és a felhasználói hozzáférés korlátozásával a számítógépet használhatatlanná teszi.

Ezután egy fenyegető váltságdíjat jelenít meg, és erőszakkal újraindítja a rendszert. Megjelenik egy hamis CHKDSK képernyő, amely úgy viselkedik, mintha javítana néhány problémát a merevlemezen.

Aztán egy koponya és egy keresztcsont villog a képernyőn, drámai ASCII művészet készítve. Annak biztosítása érdekében, hogy ne hagyja ki, nyomja meg egy gombot. Ezután egyértelmű utasításokat kap a kért összeg befizetéséről.

A fájlok helyreállításához be kell írnia a megadott portálon a személyes kulcsát. A hozzáféréshez 1, 33284506 bitcoint kell fizetnie, ami 1019 dollár.

Sajnálatos, hogy a ransomware számára még nem került kiadásra olyan eszköz, amely megfejtené a titkosítási algoritmusát.