Петя-Миша вымогатель вернулся с обновленной версией. Он основан исключительно на предыдущем продукте, но использует новое имя - Golden Eye.

Как типичный вымогатель, новый вариант «Золотой глаз» предназначен для того, чтобы похитить компьютеры невинных жертв и призвать их заплатить. Его вредоносные уловки оказались почти идентичными предыдущим версиям Пети-Мишы.

Большинство пользователей осторожны и уверены, что вряд ли когда-нибудь попадутся в ловушку, установленную злоумышленниками. Но это только вопрос времени, пока мы не столкнемся с ударом, незначительным ударом, который может привести к нарушению безопасности. И тогда все маленькие подозрительные признаки становятся очевидными, но до этого ущерб уже нанесен.

Итак, наука о завоевании доверия пользователей манипулятивной и преднамеренной ложью называется социальной инженерией. Именно этот подход много лет использовался киберпреступниками для распространения вымогателей. И это тот же самый, что вымогатель Золотой глаз развернул.

Как работает Golden Eye?

Есть сообщения о том, что вредоносное ПО получено, замаскировано под рабочее приложение. Он находится в папке спама учетных записей электронной почты пользователя.

Письмо называется «Bewerbung», что означает «приложение». Он поставляется с двумя вложениями, которые содержат вложения, которые якобы являются файлами, важными для сообщения. Файл PDF - это выглядит как настоящее резюме. И XLS (электронная таблица Excel) - это то место, где включается modus operandi вымогателей.

На второй странице письма есть фотография заявителя. Он заканчивается вежливыми инструкциями о файле Excel, в которых говорится, что он содержит значительный материал, касающийся заявления о приеме на работу. Нет явного требования, просто предложение наиболее естественным способом, сохраняя его таким же формальным, как и обычная заявка на работу.

Если жертва поддается обману и нажимает кнопку «Включить содержимое» в файле Excel, запускается макрос. После успешного запуска встроенные строки base64 сохраняются в исполняемый файл во временной папке. Когда файл создан, запускается сценарий VBA, и он вызывает процесс шифрования.

Различия с Петей Мишей:

Процесс шифрования Golden Eye немного отличается от процесса Пети-Миши. Golden Eye сначала шифрует файлы компьютера, а затем пытается установить MBR (Master Boot Record). Затем он добавляет произвольное 8-символьное расширение к каждому целевому файлу. После этого он изменяет процесс загрузки системы, делая компьютер бесполезным, ограничивая доступ пользователей.

Затем он показывает угрожающую выкуп и принудительно перезагружает систему. Появляется фальшивый экран CHKDSK, который действует так, будто устраняет некоторые проблемы с вашим жестким диском.

Затем на экране вспыхивают череп и скрещенная кость, созданные драматическим искусством ASCII. Чтобы убедиться, что вы не пропустите это, он просит вас нажать клавишу. Затем вам дадут четкие инструкции о том, как оплатить требуемую сумму.

Чтобы восстановить файлы, вам нужно будет ввести свой личный ключ к предоставленному порталу. Чтобы получить к нему доступ, вам нужно будет заплатить 1, 33284506 биткойнов, что равняется $ 1019.

К сожалению, пока еще не выпущен инструмент для этого вымогателя, который мог бы расшифровать его алгоритм шифрования.