De Petya-Mischa-ransomware heeft een comeback gemaakt met een vernieuwde versie. Het is uitsluitend gebaseerd op het vorige product, maar gebruikt een geheel nieuwe naam - Golden Eye.

Net als een typische ransomware, is de nieuwe variant Golden Eye vrijgegeven om de computers van onschuldige slachtoffers te kapen en hen aan te sporen om te betalen. De kwaadaardige trucs blijken bijna identiek te zijn aan eerdere Petya-Mischa-versies.

De meeste gebruikers zijn voorzichtig en hebben er vertrouwen in dat ze bijna nooit vallen voor een valstrik van malware-aanvallers. Maar het is slechts een kwestie van tijd totdat we een bult raken, een kleine bobbel die kan leiden tot een inbreuk op de beveiliging. Het is dan, alle kleine verdachte tekenen worden duidelijk, maar tot dan is de schade al aangericht.

Dus, de wetenschap van het verdienen van het vertrouwen van gebruikers door manipulatieve en met voorbedachten rade leugens wordt Social Engineering genoemd. Het is deze aanpak die al jaren door cybercriminelen wordt gebruikt voor het verspreiden van ransomware. En is dezelfde die de ransomware Golden Eye heeft ingezet.

Hoe werkt Golden Eye?

Er zijn meldingen dat de malware is ontvangen, vermomd als een sollicitatie. Het bevindt zich in de spammap van de e-mailaccounts van een gebruiker.

De e-mail is getiteld 'Bewerbung' dat 'applicatie' betekent. Het wordt geleverd met twee bijlagen met bijlagen die bestanden lijken te zijn, belangrijk voor het bericht. Een PDF-bestand - dat lijkt op een echt ogende CV. En een XLS (Excel-spreadsheet) - hier begint de modus operandi van de ransomware.

Op de tweede pagina van de mail staat een foto van de beweerde aanvrager. Het eindigt met beleefde instructies over het Excel-bestand, waarin staat dat het aanzienlijk materiaal bevat met betrekking tot de sollicitatie. Geen expliciete vraag, alleen een suggestie op de meest natuurlijke manier die mogelijk is, net zo formeel als een reguliere sollicitatie.

Als het slachtoffer valt voor het bedrog en op de knop "Inhoud inschakelen" in het Excel-bestand drukt, wordt een macro geactiveerd. Nadat het succesvol is gestart, worden de ingesloten base64-strings opgeslagen in een uitvoerbaar bestand in de tijdelijke map. Wanneer het bestand is gemaakt, wordt een VBA-script uitgevoerd en wordt het coderingsproces uitgelokt.

Ongelijkheden met Petya Mischa:

Het versleutelingsproces van Golden Eye is een beetje anders dan dat van Petya-Misha. Golden Eye codeert eerst de computerbestanden en probeert vervolgens de MBR (Master Boot Record) te installeren. Vervolgens voegt het een willekeurige extensie van 8 tekens toe aan elk bestand dat het target. Daarna wijzigt het het opstartproces van het systeem, waardoor de computer onbruikbaar wordt door gebruikerstoegang te beperken.

Het toont vervolgens een dreigende losgeldbrief en start het systeem met geweld opnieuw op. Er verschijnt een nep-CHKDSK-scherm dat werkt alsof het enkele problemen met uw harde schijf herstelt.

Dan flitsen een schedel en een kruisbot op het scherm, gemaakt door dramatische ASCII-kunst. Om ervoor te zorgen dat u het niet mist, wordt u gevraagd op een toets te drukken. Vervolgens krijgt u expliciete instructies over hoe u het gevraagde bedrag moet betalen.

Om de bestanden te herstellen, moet u uw persoonlijke sleutel voor een aangeboden portaal invoeren. Om toegang te krijgen moet je 1.33284506 bitcoins betalen, gelijk aan $ 1019.

Wat jammer is, is er nog geen tool vrijgegeven voor deze ransomware die zijn coderingsalgoritme zou kunnen decoderen.