Retsomware Petya-Mischa vratio se s obnovljenom verzijom. On se temelji samo na prethodnom proizvodu, ali koristi potpuno novo ime - Golden Eye.

Poput uobičajenog graničarskog softvera, nova varijanta Golden Eye postavljena je da otme računala nevine žrtve i nazove ih da plaćaju. Otkriveno je da su njegovi zlobni trikovi gotovo identični prethodnim inačicama Petya-Mischa.

Većina je korisnika oprezna, kao i uvjereni da se teško mogu ikad upasti u zamku koju su postavili napadači zlonamjernog softvera. Ali samo je pitanje vremena dok ne udarimo u pučinu, manju gužvu koja bi mogla dovesti do narušavanja sigurnosti. Tada postaju očigledni svi mali sumnjivi znakovi, ali do tada je šteta već učinjena.

Dakle, znanost o stjecanju povjerenja korisnika manipulativnim i namjernim lažima naziva se Social Engineering. Upravo je takav pristup cyber kriminalci dugi niz godina koristio za širenje ransomwarea. I ista je ona koju je ransomware Golden Eye rasporedio.

Kako djeluje Golden Eye?

Postoje izvješća da se zlonamjerni softver prima, prikriven kao zahtjev za posao. Sjedi u mapi neželjene pošte na korisnikovim računima e-pošte.

E-adresa je naslovljena "Bewerbung" što znači "aplikacija". Dolazi s dva priloga koji sadrže privitke koji predstavljaju datoteke važne za poruku. PDF datoteka - koja izgleda kao pravi životopis. I XLS (proračunska tablica Excel) - tu se pojavljuje mod rada operatora ransomwarea.

Na drugoj stranici pošte nalazi se fotografija tvrđenog podnositelja zahtjeva. Završava ljubaznim uputama o excel datoteci, navodeći da ona sadrži značajan materijal o prijavi za posao. Bez izričitog zahtjeva, samo prijedlog na najprirodniji mogući način, a formalna je kao redovna prijava za posao.

Ako žrtva padne zbog obmane i pritisne gumb "Omogući sadržaj" u Excelovoj datoteci, aktivira se makronaredba. Nakon uspješnog pokretanja sprema ugrađene nizove base64 u izvršnu datoteku u mapu temp. Kad se datoteka stvori, pokreće se VBA skripta i aktivira postupak šifriranja.

Razlike s Petya Mischa:

Postupak šifriranja Zlatnog oka malo se razlikuje od postupka Petya-Miše. Golden Eye kriptira prvo datoteke računala, a zatim pokušava instalirati MBR (Master Boot Record). Zatim dodaje slučajnu ekstenziju od 8 znakova na svaku datoteku koju cilja. Nakon toga mijenja postupak pokretanja sustava, čineći računalo neupotrebljivim ograničavajući pristup korisniku.

Zatim pokazuje prijeteću otkupninu i prisilno ponovno pokreće sustav. Pojavi se lažni CHKDSK zaslon koji djeluje kao da popravlja neke probleme s tvrdog diska.

Zatim lubanja i križna kost bljesnu na ekranu, a napravili su ga dramatični ASCII art. Da biste osigurali da ga ne propustite, zatražit ćete da pritisnete tipku. Tada vam se daju izričite upute kako platiti traženi iznos.

Da biste obnovili datoteke, trebali biste unijeti svoj osobni ključ na ponuđeni portal. Da biste mu pristupili, morat ćete platiti 1.33284506 bitcoina, što je 1019 USD.

Ono što je nesretno, još uvijek nije objavljen alat za ovaj ransomware koji bi mogao dešifrirati njegov algoritam šifriranja.