Petya-Mischa-lunastusohjelma on palannut uusitulla versiolla. Se perustuu yksinomaan edelliseen tuotteeseen, mutta siinä käytetään aivan uutta nimeä - Golden Eye.

Kuten tyypillinen ransomware, uusi variantti Golden Eye on asetettu löysäksi kaappaamaan viattoman uhrin tietokoneita ja kehottamaan heitä maksamaan. Sen haitallisten temppujen havaitaan olevan lähes identtisiä aikaisempien Petya-Mischa-versioiden kanssa.

Useimmat käyttäjät ovat varovaisia ​​ja vakuuttuneita siitä, että he tuskin koskaan putoutuisivat haittaohjelmien hyökkääjien asettamiin ansoihin. Mutta on vain ajan kysymys, kunnes osumme iskuun, pieneen iskuun, joka voi johtaa turvallisuuden rikkomiseen. Silloin kaikki pienet epäilyttävät merkit käyvät ilmeisiksi, mutta siihen asti vahinko on jo tehty.

Joten käyttäjien luottamuksen ansaitsemista manipuloivilla ja harkituilla valheilla kutsutaan tiedeksi Social Engineering. Se on tämä lähestymistapa, jota verkkorikolliset ovat käyttäneet monien vuosien ajan levittääkseen lunaohjelmia. Ja se on sama, jonka ransomware Golden Eye on ottanut käyttöön.

Kuinka Golden Eye toimii?

On ilmoitettu, että haittaohjelma on vastaanotettu, naamioituna työhakemukseksi. Se sijoittuu käyttäjän sähköpostitilien roskapostikansioon.

Sähköpostin nimi on 'Bewerbung', joka tarkoittaa 'sovellus'. Sen mukana tulee kaksi liitetiedostoa, jotka sisältävät liitetiedostot, jotka väitetään olevan tiedostoja, tärkeitä viestille. PDF-tiedosto - näyttää olevan aito näköinen ansioluettelo. Ja XLS (Excel-laskentataulukko) - tässä ransomware-ohjelman toimintatapa alkaa.

Postin toisella sivulla on valokuva vakuutetusta hakijasta. Se päättyy kohteliaisiin ohjeisiin excel-tiedostosta sanomalla, että se sisältää merkittävää materiaalia työnhaussa. Ei nimenomaista vaatimusta, vain ehdotus luonnollisimmalla mahdollisella tavalla, pitämällä se muodollisena kuin tavallinen työhakemus.

Jos uhri kaatuu petoksesta ja painaa “Ota sisältö” -painiketta excel-tiedostossa, makro laukaistaan. Käynnistämisen jälkeen se tallentaa upotetut base64-merkkijonot suoritettavaan tiedostoon temp-kansioon. Kun tiedosto luodaan, VBA-skripti suoritetaan ja se saa aikaan salausprosessin.

Erot Petya Mischan kanssa:

Golden Eye -salausprosessi on hiukan erilainen kuin Petya-Misha. Golden Eye salaa ensin tietokoneen tiedostot ja yrittää sitten asentaa MBR: n (Master Boot Record). Sitten se lisää satunnaisen 8-merkkisen laajennuksen jokaiselle kohdennetulle tiedostolle. Sen jälkeen se muuttaa järjestelmän käynnistysprosessia ja tekee tietokoneesta käyttökelvottoman rajoittamalla käyttäjän pääsyä.

Sitten se näyttää uhkaavan lunnausilmoituksen ja käynnistää järjestelmän pakollisesti. Väärä CHKDSK-näyttö aukeaa, koska se korjaa joitain kiintolevyn ongelmia.

Sitten kallo ja ristiluu vilkkuvat näytöllä dramaattisella ASCII-taiteella. Jotta et unohda sitä, se pyytää sinua painamaan näppäintä. Sitten sinulle annetaan tarkat ohjeet siitä, kuinka vaaditaan maksettava summa.

Tiedostojen palauttamiseksi sinun on annettava henkilökohtainen avaimesi annettuun portaaliin. Päästäksesi siihen joudut maksamaan 1, 33284506 bitcoinia, joka vastaa 1019 dollaria.

Valitettavasti tällä ransomware-ohjelmalla ei ole vielä julkaistu työkalua, joka voisi purkaa sen salausalgoritmin.