Το ransomware Petya-Mischa έχει επιστρέψει με μια ανανεωμένη έκδοση. Βασίζεται αποκλειστικά στο προηγούμενο προϊόν, αλλά χρησιμοποιεί ένα ολοκαίνουργιο όνομα - Golden Eye.

Όπως ένα τυπικό ransomware, η νέα παραλλαγή Golden Eye έχει χαλαρώσει για να πειράξει τους υπολογιστές του αθώου θύματος και να τους παροτρύνει να πληρώσουν. Τα κακόβουλα κόλπα του βρέθηκαν σχεδόν πανομοιότυπα με προηγούμενες εκδόσεις Petya-Mischa.

Οι περισσότεροι χρήστες είναι προσεκτικοί καθώς είναι βέβαιοι ότι δεν θα πέσουν καθόλου για μια παγίδα που θέτουν οι κακόβουλες επιθέσεις. Αλλά είναι μόνο θέμα χρόνου μέχρι να χτυπήσουμε ένα χτύπημα, ένα μικρό χτύπημα που θα μπορούσε να οδηγήσει σε παραβίαση της ασφάλειας. Τότε, όλα τα μικρά ύποπτα σημάδια γίνονται προφανή αλλά μέχρι τότε έχουν ήδη γίνει οι βλάβες.

Έτσι, η επιστήμη της απόκτησης της εμπιστοσύνης των χρηστών με χειραγωγικά και προμελετημένα ψέματα ονομάζεται κοινωνική μηχανική. Αυτή η προσέγγιση έχει χρησιμοποιηθεί εδώ και πολλά χρόνια από εγκληματίες του κυβερνοχώρου για την εξάπλωση ransomware. Και είναι το ίδιο που έχει αναπτύξει το ransomware Golden Eye.

Πώς λειτουργεί το Golden Eye;

Υπάρχουν αναφορές ότι το κακόβουλο λογισμικό λαμβάνεται, μεταμφιεσμένο ως αίτηση εργασίας. Βρίσκεται στο φάκελο ανεπιθύμητης αλληλογραφίας των λογαριασμών ηλεκτρονικού ταχυδρομείου ενός χρήστη.

Το μήνυμα ηλεκτρονικού ταχυδρομείου ονομάζεται "Bewerbung" που σημαίνει "εφαρμογή". Έρχεται με δύο συνημμένα που περιέχουν συνημμένα που θεωρούνται αρχεία, σημαντικά για το μήνυμα. Ένα αρχείο PDF - που φαίνεται να είναι ένα πραγματικό αναζητούν βιογραφικό σημείωμα. Και ένα XLS (υπολογιστικό φύλλο Excel) - αυτό είναι το σημείο όπου ξεκινάει το modus operandi του ransomware.

Στη δεύτερη σελίδα του ταχυδρομείου υπάρχει μια φωτογραφία του ισχυριζόμενου αιτούντος. Τελειώνει με ευγενικές οδηγίες για το αρχείο excel, δηλώνοντας ότι περιέχει σημαντικό υλικό σχετικά με την αίτηση εργασίας. Δεν υπάρχει ρητή απαίτηση, απλώς μια πρόταση με τον πιο φυσικό τρόπο, διατηρώντας την επίσημη ως μια κανονική δουλειά.

Αν το θύμα πέσει για την εξαπάτηση και πιέσει το κουμπί "Ενεργοποίηση περιεχομένου" στο αρχείο excel, ενεργοποιείται μια μακροεντολή. Αφού ξεκινήσει με επιτυχία, αποθηκεύει τις ενσωματωμένες συμβολοσειρές base64 σε ένα εκτελέσιμο αρχείο στο φάκελο temp. Όταν δημιουργείται το αρχείο, εκτελείται μια δέσμη ενεργειών VBA και προκαλεί τη διαδικασία κρυπτογράφησης.

Διαφορές με την Petya Mischa:

Η διαδικασία κρυπτογράφησης του Golden Eye είναι λίγο διαφορετική από αυτή του Petya-Misha. Το Golden Eye κρυπτογραφεί πρώτα τα αρχεία του υπολογιστή και στη συνέχεια προσπαθεί να εγκαταστήσει το MBR (Master Boot Record). Προσθέτει στη συνέχεια μια τυχαία επέκταση 8 χαρακτήρων σε κάθε αρχείο που στοχεύει. Στη συνέχεια, τροποποιεί τη διαδικασία εκκίνησης του συστήματος, καθιστώντας τον υπολογιστή άχρηστο περιορίζοντας την πρόσβαση των χρηστών.

Στη συνέχεια, παρουσιάζει μια απειλητική σημείωση λύτρων και αναγκάζει να επανεκκινήσει το σύστημα. Εμφανίζεται μια ψεύτικη οθόνη CHKDSK που λειτουργεί σαν να επιδιορθώνει κάποια προβλήματα με το σκληρό σας δίσκο.

Στη συνέχεια, ένα κρανίο και ένα σταυροειδές οστό αναβοσβήνουν στην οθόνη, από δραματική τέχνη ASCII. Για να βεβαιωθείτε ότι δεν το χάσετε, σας ζητά να πιέσετε ένα πλήκτρο. Έπειτα δίνετε ρητές οδηγίες σχετικά με τον τρόπο πληρωμής του απαιτούμενου ποσού.

Για να ανακτήσετε τα αρχεία θα πρέπει να εισαγάγετε το προσωπικό σας κλειδί σε μια πύλη που παρέχεται. Για να έχετε πρόσβαση σε αυτό, θα πρέπει να πληρώσετε 1.33284506 bitcoins, ίσα με $ 1019.

Αυτό που είναι ατυχές είναι ότι δεν υπάρχει ακόμη διαθέσιμο εργαλείο για αυτό το ransomware που θα μπορούσε να αποκρυπτογραφήσει τον αλγόριθμό κρυπτογράφησης του.