Il ransomware Petya-Mischa è tornato con una versione rinnovata. Si basa esclusivamente sul prodotto precedente ma utilizza un nome nuovo di zecca: Golden Eye.

Come un tipico ransomware, la nuova variante Golden Eye è stata liberata per dirottare i computer delle vittime innocenti e spingerli a pagare. I suoi trucchi malevoli sono risultati quasi identici alle precedenti versioni di Petya-Mischa.

La maggior parte degli utenti è cauta e sicura di non cadere quasi mai per una trappola creata dagli autori di malware. Ma è solo una questione di tempo prima che colpiamo un bernoccolo, un piccolo bernoccolo che potrebbe portare a una violazione della sicurezza. È allora, tutti i piccoli segni sospetti diventano evidenti ma fino ad allora il danno è già stato fatto.

Quindi, la scienza di guadagnare la fiducia degli utenti da bugie manipolative e premeditate si chiama Social Engineering. È questo approccio che è stato utilizzato dai cyber criminali per molti anni per diffondere ransomware. Ed è lo stesso che il ransomware Golden Eye ha implementato.

Come funziona Golden Eye?

È stato riferito che il malware è stato ricevuto, nascosto come una domanda di lavoro. Si trova nella cartella spam degli account e-mail di un utente.

L'e-mail si intitola "Bewerbung" che significa "applicazione". Viene fornito con due allegati che contengono allegati che si presume siano file, importanti per il messaggio. Un file PDF: sembra un curriculum dall'aspetto autentico. E un XLS (foglio di calcolo Excel): qui entra in gioco il modus operandi del ransomware.

Sulla seconda pagina della posta, c'è una fotografia del richiedente affermato. Termina con educate istruzioni sul file Excel, affermando che contiene materiale significativo per quanto riguarda la domanda di lavoro. Nessuna richiesta esplicita, solo un suggerimento nel modo più naturale possibile, mantenendolo formale come una normale domanda di lavoro.

Se la vittima cade per l'inganno e preme il pulsante "Abilita contenuto" nel file Excel, viene attivata una macro. Dopo il corretto avvio, salva le stringhe base64 incorporate in un file eseguibile nella cartella temporanea. Quando viene creato il file, viene eseguito uno script VBA che genera il processo di crittografia.

Differenze con Petya Mischa:

Il processo di crittografia di Golden Eye è leggermente diverso da quello di Petya-Misha. Golden Eye crittografa prima i file del computer e quindi tenta di installare l'MBR (Master Boot Record). Quindi aggiunge un'estensione casuale di 8 caratteri su ciascun file a cui è destinato. Successivamente modifica il processo di avvio del sistema, rendendo inutile il computer limitando l'accesso dell'utente.

Quindi mostra una minacciosa richiesta di riscatto e riavvia forzatamente il sistema. Viene visualizzata una schermata CHKDSK falsa che si comporta come se stesse riparando alcuni problemi con il disco rigido.

Quindi un teschio e una croce ossea lampeggiano sullo schermo, realizzati dalla drammatica arte ASCII. Per assicurarti di non perderlo, ti chiede di premere un tasto. Quindi ti vengono fornite istruzioni esplicite su come pagare la somma richiesta.

Per recuperare i file è necessario inserire la chiave personale in un portale fornito. Per accedervi dovrai pagare 1.33284506 bitcoin, pari a $ 1019.

La cosa spiacevole è che non è stato ancora rilasciato alcun strumento per questo ransomware che potrebbe decodificare il suo algoritmo di crittografia.