O ransomware Petya-Mischa voltou com uma versão renovada. Baseia-se unicamente no produto anterior, mas utiliza um novo nome - Golden Eye.

Como um ransomware típico, a nova variante Golden Eye foi solta para seqüestrar os computadores das vítimas inocentes e exortá-las a pagar. Seus truques maliciosos são quase idênticos às versões anteriores do Petya-Mischa.

A maioria dos usuários é cautelosa e confiante de que dificilmente cairá em uma armadilha criada por invasores de malware. Mas é apenas uma questão de tempo até atingirmos um impacto, um impacto menor que pode levar a uma violação da segurança. É então que todos os pequenos sinais suspeitos se tornam óbvios, mas até então o dano já foi feito.

Portanto, a ciência de conquistar a confiança dos usuários por mentiras manipulativas e premeditadas é chamada de Engenharia Social. É essa abordagem que tem sido usada por criminosos cibernéticos há muitos anos para espalhar ransomware. E é o mesmo que o ransomware Golden Eye implantou.

Como o Golden Eye funciona?

Há relatos de que o malware é recebido, disfarçado de aplicativo de emprego. Ele fica na pasta de spam das contas de email de um usuário.

O e-mail é intitulado 'Bewerbung', que significa 'aplicativo'. Ele vem com dois anexos que contêm anexos que parecem arquivos, importantes para a mensagem. Um arquivo PDF - que parece ser um currículo com aparência genuína. E uma XLS (planilha do Excel) - é aqui que entra o modus operandi do ransomware.

Na segunda página do correio, há uma fotografia do requerente declarado. Ele termina com instruções educadas sobre o arquivo do Excel, afirmando que ele contém material significativo referente à solicitação de emprego. Nenhuma demanda explícita, apenas uma sugestão da maneira mais natural possível, mantendo-a tão formal quanto uma solicitação de emprego regular.

Se a vítima se interessar pelo engano e pressionar o botão "Ativar conteúdo" no arquivo do Excel, uma macro é acionada. Após o lançamento bem-sucedido, ele salva as seqüências base64 incorporadas em um arquivo executável na pasta temp. Quando o arquivo é criado, um script VBA é executado e provoca o processo de criptografia.

Dissimilaridades com Petya Mischa:

O processo de criptografia do Golden Eye é um pouco diferente do processo de Petya-Misha. O Golden Eye criptografa os arquivos do computador primeiro e depois tenta instalar o MBR (Master Boot Record). Em seguida, anexa uma extensão aleatória de 8 caracteres em cada arquivo que ele segmenta. Depois disso, modifica o processo de inicialização do sistema, tornando o computador inútil, restringindo o acesso do usuário.

Em seguida, ele mostra uma nota de resgate ameaçadora e reinicia forçosamente o sistema. Uma tela CHKDSK falsa é exibida e age como se estivesse reparando alguns problemas com seu disco rígido.

Em seguida, um crânio e uma cruz piscam na tela, feitos pela arte dramática do ASCII. Para garantir que você não perca, solicita que você pressione uma tecla. Em seguida, você recebe instruções explícitas sobre como pagar a quantia exigida.

Para recuperar os arquivos, você precisará inserir sua chave pessoal em um portal fornecido. Para acessá-lo, você terá que pagar 1.33284506 bitcoins, iguais a US $ 1019.

O que é lamentável é que ainda não há nenhuma ferramenta liberada para este ransomware que possa descriptografar seu algoritmo de criptografia.