Các ransomware Petya-Mischa đã trở lại với một phiên bản tân trang. Nó chỉ dựa trên sản phẩm trước đó nhưng nó sử dụng một tên hoàn toàn mới - Golden Eye.

Giống như một phần mềm ransomware thông thường, Golden Eye biến thể mới đã được thiết lập để chiếm quyền điều khiển máy tính của nạn nhân vô tội và kêu gọi họ trả tiền. Thủ đoạn độc hại của nó được phát hiện gần như giống hệt với các phiên bản Petya-Mischa trước đây.

Hầu hết người dùng đều thận trọng cũng như tự tin rằng họ khó có thể rơi vào bẫy do kẻ tấn công phần mềm độc hại gây ra. Nhưng đó chỉ là vấn đề thời gian cho đến khi chúng tôi gặp một vết sưng, một vết sưng nhỏ có thể dẫn đến vi phạm an ninh. Sau đó, tất cả các dấu hiệu đáng ngờ nhỏ đã trở nên rõ ràng nhưng cho đến lúc đó, thiệt hại đã được thực hiện.

Vì vậy, khoa học kiếm được lòng tin của người dùng bằng những lời nói dối thao túng và tiền định được gọi là Kỹ thuật xã hội. Chính cách tiếp cận này đã được sử dụng bởi bọn tội phạm mạng trong nhiều năm để truyền bá ransomware. Và cũng chính là thứ mà Golden Eye ransomware đã triển khai.

Mắt Vàng hoạt động như thế nào?

Có báo cáo rằng phần mềm độc hại được nhận, ngụy trang dưới dạng một ứng dụng công việc. Nó nằm trong thư mục thư rác của tài khoản email của người dùng.

Email có tiêu đề 'Bewerbung' có nghĩa là 'ứng dụng'. Nó đi kèm với hai tệp đính kèm có chứa tệp đính kèm có ý định là tệp, quan trọng đối với thư. Một tệp PDF - dường như là một sơ yếu lý lịch tìm kiếm chính hãng. Và một XLS (bảng tính Excel) - đây là nơi modus operandi của ransomware khởi động.

Trên trang thứ hai của thư, có một bức ảnh của người nộp đơn khẳng định. Nó kết thúc với các hướng dẫn lịch sự về tệp excel, nói rằng nó chứa tài liệu quan trọng liên quan đến đơn xin việc. Không có nhu cầu rõ ràng, chỉ là một gợi ý theo cách tự nhiên nhất có thể, giữ cho nó trang trọng như một ứng dụng công việc thông thường.

Nếu nạn nhân rơi vào sự lừa dối và nhấn nút Bật Bật Nội dung trong tệp excel, một macro sẽ được kích hoạt. Sau khi khởi chạy thành công, nó lưu các chuỗi cơ sở nhúng vào một tệp thực thi trong thư mục tạm thời. Khi tệp được tạo, tập lệnh VBA sẽ chạy và nó gợi ra quá trình mã hóa.

Khác biệt với Petya Mischa:

Quá trình mã hóa của Golden Eye khác một chút so với quy trình của Petya-Misha. Golden Eye mã hóa các tệp của máy tính trước rồi sau đó thử cài đặt MBR (Bản ghi khởi động chính). Sau đó, nó sẽ thêm một phần mở rộng 8 ký tự ngẫu nhiên trên mỗi tệp mà nó nhắm mục tiêu. Sau đó, nó sửa đổi quá trình khởi động của hệ thống, khiến máy tính trở nên vô dụng bằng cách hạn chế quyền truy cập của người dùng.

Sau đó, nó cho thấy một lưu ý tiền chuộc đe dọa và buộc khởi động lại hệ thống. Một màn hình CHKDSK giả bật lên hoạt động giống như nó đang sửa chữa một số vấn đề với ổ cứng của bạn.

Sau đó, một hộp sọ và đèn flash xương chéo trên màn hình, được tạo ra bởi nghệ thuật ASCII đầy kịch tính. Để đảm bảo bạn không bỏ lỡ nó, nó yêu cầu bạn nhấn một phím. Sau đó, bạn được cung cấp hướng dẫn rõ ràng về cách thanh toán số tiền yêu cầu.

Để khôi phục các tập tin, bạn sẽ cần nhập khóa cá nhân của bạn vào một cổng thông tin được cung cấp. Để truy cập nó, bạn sẽ phải trả 1, 33284506 bitcoin, tương đương 1019 đô la.

Điều không may là, vẫn chưa có công cụ nào được phát hành cho phần mềm ransomware này có thể giải mã thuật toán mã hóa của nó.