Ransomware fra Petya-Mischa har gjort comeback med en fornyet versjon. Det er utelukkende basert på det forrige produktet, men det bruker et helt nytt navn - Golden Eye.

Som en typisk løsepenger, har den nye varianten Golden Eye blitt frigjort for å kapre uskyldige offerets datamaskiner og oppfordre dem til å betale opp. De ondsinnede triksene hans har vist seg å være nesten identiske med tidligere Petya-Mischa-versjoner.

De fleste brukere er forsiktige og er sikre på at de nesten aldri vil falle for en felle satt av angripere av malware. Men det er bare et spørsmål om tid til vi treffer en støt, en mindre støt som kan føre til brudd på sikkerheten. Det er da alle små mistenkelige tegn blir åpenbare, men inntil da har skaden allerede blitt gjort.

Så vitenskapen om å tjene brukerens tillit ved manipulerende og forutinnlagte løgner kalles Social Engineering. Det er denne tilnærmingen som har blitt brukt av cyberkriminelle i mange år for å spre løsepenger. Og er den samme som ransomware Golden Eye har distribuert.

Hvordan fungerer Golden Eye?

Det er rapporter om at skadelig programvare er mottatt, forkledd som en jobbsøknad. Den sitter i spam-mappen til brukerens e-postkontoer.

E-posten har tittelen 'Bewerbung' som betyr 'applikasjon'. Den kommer med to vedlegg som inneholder vedlegg som påstås å være filer, viktig for meldingen. En PDF-fil - som ser ut til å være en genuin CV. Og et XLS (Excel-regneark) - det er her ransomwarens modus operandi starter.

På postens andre side er det et fotografi av den påståtte søkeren. Det ender med høflige instruksjoner om Excel-filen, og sier at den inneholder betydelig materiale angående jobbsøknaden. Ingen eksplisitte krav, bare et forslag på en så naturlig måte som mulig, holde det så formelt som en vanlig jobbsøknad.

Hvis offeret faller for bedraget og trykker på "Aktiver innhold" -knappen i Excel-filen, utløses en makro. Etter vellykket lansering lagrer den de innebygde base64-strengene i en kjørbar fil i temp-mappen. Når filen er opprettet, kjører et VBA-skript, og det lokker til krypteringsprosessen.

Mislikheter med Petya Mischa:

Krypteringsprosessen til Golden Eye er litt annerledes enn Petya-Mishas. Golden Eye krypterer datamaskinens filer først og prøver deretter å installere MBR (Master Boot Record). Den legger deretter en tilfeldig utvidelse på 8 tegn på hver fil den er målrettet mot. Etter det endrer den oppstartsprosessen til systemet, noe som gjør datamaskinen ubrukelig ved å begrense brukertilgangen.

Den viser da en truende løsepengerotat og starter systemet på nytt med kraft. En falsk CHKDSK-skjerm dukker opp som fungerer som om den reparerer noen problemer med harddisken din.

Så blinker en hodeskalle og et tverrbein på skjermen, laget av dramatisk ASCII-kunst. For å sikre at du ikke går glipp av det, ber den deg om å trykke på en tast. Deretter får du eksplisitte instruksjoner om hvordan du betaler den påkrevde summen.

For å gjenopprette filene må du oppgi din personlige nøkkel til en portal som følger med. For å få tilgang til den, må du betale 1.33284506 bitcoins, lik $ 1019.

Det som er uheldig, er det ennå ikke gitt ut noe verktøy for denne ransomware som kan dekryptere krypteringsalgoritmen.