Odkupna programska oprema Petya-Mischa se je vrnila s prenovljeno različico. Temelji izključno na prejšnjem izdelku, uporablja pa povsem novo ime - Golden Eye.

Tako kot tipična odkupna programska oprema je tudi nova različica Golden Eye ohlapno ugrabila računalnike nedolžne žrtve in jih pozvala, naj plačajo. Njeni zlonamerni triki so skoraj enaki prejšnjim različicam Petya-Mischa.

Večina uporabnikov je previdna in prepričana, da bi komaj kdaj padli v past, ki so jo postavili napadalci zlonamerne programske opreme. Vendar je samo vprašanje časa, dokler ne bomo zadeli udarca, manjšega udarca, ki bi lahko privedel do kršitve varnosti. Takrat postanejo očitni vsi majhni sumljivi znaki, toda škoda je bila že storjena.

Torej, znanost o zaslužku zaupanja uporabnikov z manipulativnimi in namernimi lažmi se imenuje Socialni inženiring. Prav ta pristop kibernetski kriminalci že vrsto let uporabljajo za širjenje odkupa. In je enak tistemu, ki ga je uporabil odkupni program Golden Eye.

Kako deluje Golden Eye?

Obstajajo poročila, da je zlonamerna programska oprema prejeta, prikrita kot vloga za delo. Sedi v mapi neželene pošte uporabniških e-poštnih računov.

E-poštno sporočilo ima naslov „Bewerbung“, kar pomeni „prijava“. Priložena sta dve prilogi, ki vsebujeta priloge, ki so pomembne za sporočilo. Datoteka PDF - zdi se, da je resnično videti življenjepis. In XLS (razpredelnica Excel) - tu se začne modus operacijskega sistema ransomware.

Na drugi strani pošte je fotografija potrjenega prosilca. Konča se z vljudnimi navodili o datoteki excel, ki navajajo, da vsebuje veliko gradiva o prošnji za delo. Brez izrecne zahteve, le predlog na najbolj naraven možen način, pri čemer ostane formalno kot običajna prošnja za delo.

Če žrtev zaradi prevare pade in v datoteki excel pritisne gumb »Omogoči vsebino«, se sproži makro. Po uspešnem zagonu shrani vdelane nize base64 v izvršljivo datoteko v mapo temp. Ko je datoteka ustvarjena, se zažene skript VBA in sproži postopek šifriranja.

Razlike s Petjo Misšo:

Postopek šifriranja Zlatega očesa se nekoliko razlikuje od procesa Petya-Miše. Golden Eye najprej šifrira datoteke računalnika in nato poskuša namestiti MBR (Master Boot Record). Nato na vsako datoteko, na katero cilja, doda naključno razširitev z 8 znaki. Po tem spremeni postopek zagona sistema in računalnik postane neuporaben z omejitvijo uporabnikovega dostopa.

Nato prikaže grozečo odkupnino in prisilno ponovno zažene sistem. Pojavi se ponarejeni zaslon CHKDSK, ki deluje kot da popravlja nekatere težave s trdim diskom.

Nato na zaslonu utripata lobanja in križna kost, ki ju je ustvarila dramatična umetnost ASCII. Da se prepričate, da ga ne boste zamudili, vas prosimo, da pritisnete tipko. Nato boste dobili izrecna navodila, kako plačati zahtevano vsoto.

Če želite obnoviti datoteke, morate vnesti svoj osebni ključ na priloženi portal. Za dostop do njega boste morali plačati 1.33284506 bitcoinov, kar je 1019 dolarjev.

Kar je žal, še ni izdano nobeno orodje za to ransomware, ki bi lahko dešifriralo njegov algoritem za šifriranje.