Izdevumu programma Petya-Mischa ir veikusi atriebību ar atjaunoto versiju. Tas ir balstīts tikai uz iepriekšējo produktu, bet tajā tiek izmantots pavisam jauns nosaukums - Golden Eye.

Tāpat kā tipiska izpirkuma programmatūra, arī jaunais Zelta acs variants ir atbrīvots, lai nolaupītu nevainīgā upura datorus un mudinātu viņus samaksāt. Tiek atklāts, ka tā ļaunprātīgie triki ir gandrīz identiski iepriekšējām Petya-Mischa versijām.

Lielākā daļa lietotāju ir piesardzīgi, kā arī ir pārliecināti, ka diez vai viņi kādreiz iekristu slazdā, kuru uzbrukuši ļaunprātīgas programmatūras uzbrucēji. Bet tas ir tikai laika jautājums, līdz mēs saskaramies ar nelielu sitienu, kas var izraisīt drošības pārkāpumu. Pēc tam visas mazās aizdomīgās pazīmes kļūst acīmredzamas, bet līdz tam kaitējums jau ir nodarīts.

Tātad zinātne par lietotāju uzticības nopelnīšanu ar manipulatīviem un pārdomātiem meliem tiek saukta par sociālo inženieriju. Tieši šo pieeju kibernoziedznieki daudzus gadus izmanto, lai izplatītu izpirkuma programmatūru. Un tas pats, ko ir izlaidusi programma “zelta acs”.

Kā darbojas Golden Eye?

Ir ziņojumi par ļaunprātīgas programmatūras saņemšanu, kas ir maskēta kā darba pieteikums. Tas atrodas lietotāja e-pasta kontu surogātpastu mapē.

E-pasta nosaukums ir “Bewerbung”, kas nozīmē “lietojumprogramma”. Tam ir divi pielikumi, kas satur pielikumus, kas, domājams, ir faili, kas ir svarīgi ziņojumam. PDF fails - šķiet, ka tas ir īsts izskata atsākums. Un XLS (Excel izklājlapa) - šajā vietā tiek parādīts ransomware modus operandi.

Pasta otrajā lappusē ir apgalvotā iesniedzēja fotogrāfija. Tas beidzas ar pieklājīgiem norādījumiem par Excel failu, norādot, ka tajā ir nozīmīgs materiāls par darba pieteikumu. Nav izteikta pieprasījuma, tikai ierosinājums iespējami dabiskā veidā, saglabājot to kā formālu kā regulāru darba pieteikumu.

Ja upuris iekrīt maldināšanas dēļ un Excel failā nospiež pogu “Enable Content”, tiek aktivizēta makro. Pēc veiksmīgas palaišanas tas iegultās base64 virknes saglabā izpildāmajā failā temp mapē. Kad fails ir izveidots, tiek palaists VBA skripts, un tas izsauc šifrēšanas procesu.

Atšķirības ar Petja Miča:

Zelta acs šifrēšanas process nedaudz atšķiras no Petja-Miša procesa. Zelta acs vispirms šifrē datora failus un pēc tam mēģina instalēt MBR (Master Boot Record). Pēc tam katram mērķim pievienotajam failam izlases veida 8 rakstzīmju paplašinājumu. Pēc tam tas maina sistēmas sāknēšanas procesu, padarot datoru nelietojamu, ierobežojot lietotāja piekļuvi.

Pēc tam tiek parādīta draudīga izpirkuma maksa un sistēma piespiedu kārtā tiek atsākināta. Tiek parādīts viltus CHKDSK ekrāns, kas darbojas tāpat, kā labo dažas problēmas ar jūsu cieto disku.

Tad ekrānā mirgo galvaskauss un krustu kauls, ko veidojusi dramatiskā ASCII māksla. Lai jūs to nepalaistu garām, tas prasa nospiest taustiņu. Tad jums tiek doti skaidri norādījumi, kā samaksāt pieprasīto summu.

Lai atkoptu failus, ievadītajā portālā jums jāievada personīgā atslēga. Lai tai piekļūtu, jums būs jāmaksā 1, 33284506 bitkoini, kas ir vienādi ar 1019 USD.

Par nožēlu ir tas, ka šai ransomware vēl nav izlaists rīks, kas varētu atšifrēt tā šifrēšanas algoritmu.