Petya-Mischaランサムウェアは、改訂版で復活しました。 以前の製品のみに基づいていますが、Golden Eyeという新しい名前を使用しています。

典型的なランサムウェアのように、新しい亜種のゴールデンアイは、罪のない被害者のコンピューターをハイジャックし、支払いを促すために緩められています。 その悪意のあるトリックは、以前のバージョンのPetya-Mischaとほぼ同じであることが判明しています。

ほとんどのユーザーは、マルウェア攻撃者が設定したトラップに陥ることはほとんどないと確信しているだけでなく、慎重です。 しかし、セキュリティの侵害につながる可能性のある軽微なバンプにぶつかるのは時間の問題です。 そうすると、小さな疑わしい兆候がすべて明らかになりますが、それまでは被害はすでに発生しています。

したがって、操作的で計画的な嘘によってユーザーの信頼を獲得する科学は、ソーシャルエンジニアリングと呼ばれます。 サイバー犯罪者がランサムウェアを広めるために長年使用してきたのはこのアプローチです。 ランサムウェアのゴールデンアイが展開しているのと同じものです。

ゴールデンアイはどのように機能しますか？

マルウェアがジョブアプリケーションを装って受信されたという報告があります。 ユーザーの電子メールアカウントのスパムフォルダーにあります。

電子メールのタイトルは「Bewerbung」、つまり「application」です。 メッセージに重要なファイルを装う添付ファイルを含む2つの添付ファイルが付属しています。 PDFファイル –それは本物のように見える履歴書のようです。 XLS（Excelスプレッドシート） –ランサムウェアの手口がここで始まります。

メールの2ページ目には、主張された申請者の写真があります。 最後に、エクセルファイルに関する丁寧な指示で、求人応募に関する重要な資料が含まれていることを示します。 明示的な要求はなく、可能な限り最も自然な方法での提案であり、通常の求人応募と同じように正式なものにします。

被害者が詐欺に陥り、Excelファイルの[コンテンツを有効にする]ボタンを押すと、マクロがトリガーされます。 正常に起動すると、埋め込まれたbase64文字列をtempフォルダー内の実行可能ファイルに保存します。 ファイルが作成されると、VBAスクリプトが実行され、暗号化プロセスが誘発されます。

Petya Mischaとの相違点：

Golden Eyeの暗号化プロセスは、Petya-Mishaのものとは少し異なります。 Golden Eyeは最初にコンピューターのファイルを暗号化してから、MBR（マスターブートレコード）のインストールを試みます。 次に、ターゲットの各ファイルにランダムな8文字の拡張子を追加します。 その後、システムのブートプロセスを変更し、ユーザーアクセスを制限することによりコンピューターを役に立たなくします。

その後、脅迫的な身代金メモを表示し、システムを強制的に再起動します。 偽のCHKDSK画面がポップアップし、ハードドライブの問題を修復しているように見えます。

次に、頭蓋骨と十字の骨が画面上で点滅します。これは、劇的なASCIIアートによって作成されました。 見逃さないように、キーを押すように求められます。 次に、要求された金額の支払い方法に関する明示的な指示が与えられます。

ファイルを回復するには、提供されたポータルに個人キーを入力する必要があります。 アクセスするには、1019ドルに相当する1.33284506ビットコインを支払う必要があります。

残念なことに、暗号化アルゴリズムを解読できるランサムウェア用のツールはまだリリースされていません。