Програми для викупу Petya-Mischa зробили оновлену версію. Він базується виключно на попередньому продукті, але в ньому використовується абсолютно нова назва - Золотий очей.

Як і типовий викуп, новий варіант «Золотий очей» був розкутий, щоб викрасти комп’ютери невинних жертв і закликати їх заплатити. Його шкідливі хитрощі виявляються майже ідентичними попереднім версіям Petya-Mischa.

Більшість користувачів насторожені, а також впевнені, що навряд чи коли-небудь потраплять у пастку, встановлену зловмисниками. Але це лише питання часу, поки ми не вдаримося про удар, незначний удар, який може призвести до порушення безпеки. Саме тоді всі дрібні підозрілі ознаки стають очевидними, але до цього шкода вже була зроблена.

Отже, наука про завоювання довіри користувачів маніпулятивною та умисною брехнею називається Social Engineering. Саме такий підхід застосовується кіберзлочинцями протягом багатьох років для розповсюдження викупових програм. І це той самий, який розгорнув викуповий пристрій Золотий очей.

Як працює Золотий очей?

Є повідомлення про те, що зловмисне програмне забезпечення отримане, замасковане під заяву на роботу. Він знаходиться в папці зі спамом облікових записів електронної пошти користувача.

Електронний лист має назву "Bewerbung", що означає "додаток". Він постачається з двома вкладеннями, які містять вкладення, які вважаються файлами, важливими для повідомлення. PDF-файл - який видається справжнім резюме. І XLS (електронна таблиця Excel) - саме тут починається спосіб роботи операторів програмного забезпечення.

На другій сторінці пошти є фотографія заявленого заявника. Закінчується ввічливими інструкціями щодо файлу excel, вказуючи, що він містить значні матеріали щодо заявки на роботу. Ніякої явної вимоги, просто пропозиція максимально природним способом, зберігаючи це формально, як звичайну заявку на роботу.

Якщо жертва потрапляє на обман і натискає кнопку "Увімкнути вміст" у файлі excel, запускається макрос. Після успішного запуску він зберігає вбудовані рядки base64 у виконуваний файл у папці temp. Коли файл створюється, запускається скрипт VBA, який викликає процес шифрування.

Невідповідності Петя Міша:

Процес шифрування Золотого ока трохи відрізняється від способу Петя-Міші. Golden Eye шифрує файли комп'ютера спочатку, а потім намагається встановити MBR (Master Boot Record). Потім додається випадкове розширення з 8 символів у кожен файл, на який він націлений. Після цього він змінює процес завантаження системи, роблячи комп'ютер непотрібним, обмежуючи доступ користувача.

Потім він показує загрозливу відомість про викуп і примусово перезавантажує систему. З'являється підроблений екран CHKDSK, який діє так, як він виправляє деякі проблеми на вашому жорсткому диску.

Потім на екрані спалахують череп і хрест кістки, зроблені драматичним мистецтвом ASCII. Щоб переконатися, що ви цього не пропустите, він попросить натиснути клавішу. Тоді вам даються чіткі вказівки щодо сплати вимаганої суми.

Щоб відновити файли, вам потрібно буде ввести свій особистий ключ на наданому порталі. Для доступу до нього доведеться заплатити 1, 33284506 біткойнів, що дорівнює 1019 доларам.

Що прикро, але ще не було випущено жодного інструменту для цієї програми, яка б розшифрувала його алгоритм шифрування.