Petans-Mischa ransomware har lavet et comeback med en fornyet version. Det er udelukkende baseret på det forrige produkt, men det bruger et helt nyt navn - Golden Eye.

Som en typisk løsepenge, er den nye variant Golden Eye blevet løsladt for at kapre det uskyldige offers computere og opfordre dem til at betale op. Dens ondsindede tricks viser sig at være næsten identiske med tidligere Petya-Mischa-versioner.

De fleste brugere er forsigtige såvel som sikre på, at de næppe nogensinde vil falde for en fælde, der er angivet af malware-angribere. Men det er kun et spørgsmål om tid, indtil vi rammer en stød, et mindre stød, der kan føre til et brud på sikkerheden. Det er så, alle de små mistænkelige tegn bliver tydelige, men indtil da er skaden allerede blevet gjort.

Så videnskaben om at tjene brugernes tillid ved manipulerende og forudsatte løgner kaldes Social Engineering. Det er denne tilgang, der er blevet brugt af cyberkriminelle i mange år til at sprede ransomware. Og er den samme, som ransomware Golden Eye har anvendt.

Hvordan fungerer Golden Eye?

Der er rapporter om, at malware er modtaget, forklædt som en jobansøgning. Det sidder i spam-mappen på en brugers e-mail-konti.

E-mailen har titlen 'Bewerbung', der betyder 'applikation'. Det leveres med to vedhæftede filer, der indeholder vedhæftede filer, der påstås at være filer, der er vigtige for meddelelsen. En PDF-fil - der ser ud til at være et ægte CV. Og et XLS (Excel-regneark) - det er her ransomwares modus operandi starter ind.

På den anden side af posten er der et fotografi af den påståede ansøger. Det slutter med høflige instruktioner om excel-filen, hvori det anføres, at den indeholder betydeligt materiale vedrørende jobansøgningen. Intet eksplicit krav, kun et forslag på den mest naturlige måde, der skal holdes så formel som en almindelig jobansøgning.

Hvis offeret falder for bedraget og trykker på knappen "Aktivér indhold" i excel-filen, udløses en makro. Efter succesfuld lancering gemmer det de integrerede base64-strenge i en eksekverbar fil i temp-mappen. Når filen oprettes, kører et VBA-script, og det fremkalder krypteringsprocessen.

Forskelle med Petya Mischa:

Krypteringsprocessen for Golden Eye er lidt anderledes end Petya-Misha's. Golden Eye krypterer computerens filer først og forsøger derefter at installere MBR (Master Boot Record). Derefter tilføjes en tilfældig udvidelse med 8 tegn på hver fil, den målretter mod. Derefter ændrer det systemets startproces, hvilket gør computeren ubrugelig ved at begrænse brugeradgangen.

Den viser derefter en truende løsepenge og genstarter systemet med magt. En falsk CHKDSK-skærm dukker op, der fungerer som om den reparerer nogle problemer med din harddisk.

Derefter blinker en kranium og en tværben på skærmen lavet af dramatisk ASCII-kunst. For at sikre, at du ikke går glip af det, beder den dig om at trykke på en tast. Så får du eksplicitte instruktioner om, hvordan du betaler det krævede beløb.

For at gendanne filerne skal du indtaste din personlige nøgle til en leveret portal. For at få adgang til det bliver du nødt til at betale 1.33284506 bitcoins svarende til $ 1019.

Hvad der er uheldig, er der endnu ikke frigivet noget værktøj til denne ransomware, der kan dekryptere dens krypteringsalgoritme.