El ransomware Petya-Mischa ha tornat amb una versió restaurada. Es basa exclusivament en el producte anterior, però utilitza un nou nom - Golden Eye.

Com un ransomware típic, la nova variant Golden Eye s'ha deixat anar per segrestar ordinadors de víctimes innocents i instar-los a pagar. S'ha trobat que els seus trucs maliciosos són gairebé idèntics a les versions anteriors de Petya-Mischa.

La majoria dels usuaris són prudents i confien que gairebé mai caurien en un parany que els atacants de programari maliciós havien de fer. Però només és qüestió de temps fins que arribem a un cop de porra, un cop menor que pot provocar una violació de la seguretat. Aleshores, tots els petits signes sospitosos es fan evidents, però fins aleshores ja s'havia fet el dany.

Així doncs, la ciència de guanyar-se la confiança dels usuaris mitjançant mentides manipulatives i premeditades s’anomena Enginyeria Social. Aquest enfocament ha estat utilitzat des de fa molts anys pels ciberdelinqüents per difondre el ransomware. I és el mateix que el ransomware Golden Eye ha desplegat.

Com funciona Golden Eye?

Hi ha informes que es rep el programari maliciós, disfressat d’aplicació de treball. Es troba a la carpeta de correu brossa dels comptes de correu electrònic d’un usuari.

El correu electrònic es titula "Bewerbung" que significa "aplicació". Es presenta amb dos fitxers adjunts que contenen fitxers adjunts que volen ser fitxers, importants per al missatge. Un fitxer PDF, que sembla ser un currículum autèntic. I un full de càlcul XLS (Excel), aquí és on entra el modus operandi del ransomware.

A la segona pàgina del correu, hi ha una fotografia del sol·licitant afirmat. Acaba amb instruccions educades sobre el fitxer excel, afirmant que conté material significatiu sobre la sol·licitud de treball. No hi ha demanda explícita, només un suggeriment de la manera més natural possible, mantenint-la tan formal com una sol·licitud de treball regular.

Si la víctima s’enganya i prem el botó “Habilitar contingut” al fitxer excel, s’activa una macro. Després de llançar-lo correctament, desa les cadenes de base64 incrustades en un fitxer executable de la carpeta temp. Quan es crea el fitxer, s’executa un script VBA i genera el procés de xifrat.

Dissimilitats amb Petya Mischa:

El procés de xifratge de Golden Eye és una mica diferent del de Petya-Misha. Golden Eye xifra primer els fitxers de l’ordinador i després intenta instal·lar el MBR (Master Boot Record). A continuació, s’afegeix una extensió aleatòria de 8 caràcters a cada fitxer al que s’orienta. Després d'això, modifica el procés d'arrencada del sistema, convertint l'ordinador inútil en restringir l'accés dels usuaris.

A continuació, mostra una nota de rescata amenaçadora i reinicia de manera forçosa el sistema. Es mostra una pantalla CHKDSK falsa que actua com si solucionés alguns problemes amb el disc dur.

A continuació, un crani i un os creuat parlen a la pantalla, realitzats per l'art dramàtic ASCII. Per assegurar-vos que no us ho perdeu, us demana que premeu una tecla. A continuació, se us proporcionen instruccions explícites sobre com pagar la quantitat sol·licitada.

Per recuperar els fitxers, haureu d’introduir la vostra clau personal en un portal proporcionat. Per accedir-hi, haureu de pagar 1.33284506 bitcoins, igual a 1019 dòlars.

El que és lamentable és que encara no hi ha cap eina publicada per a aquest ransomware que pugui desxifrar el seu algorisme de xifrat.