Изтеглящият софтуер Petya-Mischa направи завръщане с обновена версия. Той се основава единствено на предишния продукт, но използва чисто ново име - Golden Eye.

Подобно на типичния софтуер за откупуване, новият вариант Golden Eye е разкрепостен, за да отвлече компютрите на невинни жертви и да ги призовава да платят. Установено е, че злонамерените му трикове са почти идентични с предишните версии на Петя-Миша.

Повечето потребители са предпазливи, както и уверени, че едва ли някога ще попаднат в капан, зададен от нападатели на зловреден софтуер. Но е само въпрос на време, докато ударим удар, незначителен удар, който може да доведе до нарушаване на сигурността. Тогава всички малки подозрителни признаци стават очевидни, но дотогава щетите вече са направени.

И така, науката за спечелване на доверието на потребителите чрез манипулативни и умишлени лъжи се нарича Social Engineering. Именно този подход се използва от киберпрестъпниците от много години за разпространение на откуп. И е същият, който е използвал ransomware Golden Eye.

Как работи Golden Eye?

Има съобщения, че зловредният софтуер е получен, прикрит като приложение за работа. Той се намира в папката за спам на имейл акаунти на потребителя.

Имейлът е озаглавен „Bewerbung“, което означава „приложение“. Той се предлага с два приставки, които съдържат прикачени файлове, които се смятат за важни за съобщението файлове. PDF файл - изглежда, че е реално изглеждащ резюме. И XLS (Excel електронна таблица) - това е мястото, където започва начина на работа на ransomware.

На втората страница на пощата има снимка на заявения кандидат. Той завършва с учтиви инструкции за файла excel, заявявайки, че той съдържа значителен материал относно заявлението за работа. Без изрично искане, просто предложение по възможно най-естествения начин, което да бъде формално като редовно заявление за работа.

Ако жертвата падне за измамата и натисне бутона „Активиране на съдържанието“ във файла excel, се задейства макрос. След успешно стартиране, той записва вградените base64 низове в изпълним файл в папката temp. Когато файлът е създаден, се изпълнява VBA скрипт и той предизвиква процеса на криптиране.

Различия с Петя Миша:

Процесът на криптиране на Golden Eye е малко по-различен от този на Петя-Миша. Golden Eye криптира първо файловете на компютъра и след това се опитва да инсталира MBR (Master Boot Record). След това добавя произволно 8-знаково разширение към всеки файл, към който е насочен. След това той променя процеса на зареждане на системата, като прави компютъра безполезен, като ограничава достъпа на потребителите.

След това показва заплашителна бележка за откуп и принудително рестартира системата. Изскача фалшив екран CHKDSK, който действа като че ли поправя някои проблеми с вашия твърд диск.

След това череп и кръстосана кост мигат на екрана, направени от драматично ASCII изкуство. За да сте сигурни, че не го пропускате, той ви моли да натиснете клавиш. След това получавате изрични указания как да платите исканата сума.

За да възстановите файловете, трябва да въведете личния си ключ към предоставен портал. За достъп до него ще трябва да платите 1.33284506 биткойни, равняващи се на $ 1019.

Това, което е жалко е, че все още няма пуснат инструмент за този софтуер, който може да дешифрира неговия алгоритъм за криптиране.