Ransomware Petya-Mischa telah kembali dengan versi yang dirubah. Ini semata-mata didasarkan pada produk sebelumnya tetapi menggunakan nama baru - Golden Eye.

Seperti ransomware biasa, varian baru Golden Eye telah dibebaskan untuk membajak komputer korban yang tidak bersalah dan mendesak mereka untuk membayar. Trik jahatnya hampir identik dengan versi Petya-Mischa sebelumnya.

Sebagian besar pengguna berhati-hati dan juga yakin bahwa mereka tidak akan pernah jatuh ke perangkap yang ditetapkan oleh penyerang malware. Tapi itu hanya masalah waktu sampai kita menabrak benjolan, benjolan kecil yang dapat menyebabkan pelanggaran keamanan. Saat itulah, semua tanda-tanda kecil yang mencurigakan menjadi jelas tetapi sampai saat itu kerusakan telah terjadi.

Jadi, ilmu untuk mendapatkan kepercayaan pengguna dengan kebohongan manipulatif dan terencana disebut Rekayasa Sosial. Ini adalah pendekatan yang telah digunakan oleh penjahat cyber selama bertahun-tahun untuk menyebarkan ransomware. Dan sama dengan ransomware Golden Eye.

Bagaimana cara Mata Emas bekerja?

Ada laporan bahwa malware diterima, menyamar sebagai aplikasi pekerjaan. Itu duduk di folder spam akun email pengguna.

Email tersebut berjudul 'Bewerbung' yang berarti 'aplikasi'. Muncul dengan dua lampiran yang berisi lampiran yang dimaksudkan sebagai file, penting untuk pesan. File PDF - yang tampaknya merupakan resume yang tampak asli. Dan XLS (Excel spreadsheet) - di sinilah modus operandi ransomware dimulai.

Di halaman kedua surat itu, ada foto pelamar yang ditegaskan. Itu berakhir dengan instruksi sopan tentang file excel, yang menyatakan bahwa itu berisi materi signifikan mengenai lamaran pekerjaan. Tidak ada permintaan eksplisit, hanya saran dengan cara yang paling alami, menjaganya tetap formal seperti lamaran kerja biasa.

Jika korban jatuh ke penipuan dan menekan tombol "Aktifkan Konten" di file excel, makro dipicu. Setelah berhasil diluncurkan, ia menyimpan string base64 yang tertanam ke dalam file yang dapat dieksekusi di folder temp. Ketika file dibuat, skrip VBA berjalan dan memunculkan proses enkripsi.

Perbedaan dengan Petya Mischa:

Proses enkripsi Golden Eye sedikit berbeda dari proses Petya-Misha. Golden Eye mengenkripsi file komputer terlebih dahulu dan kemudian mencoba menginstal MBR (Master Boot Record). Kemudian menambahkan ekstensi 8 karakter acak pada setiap file yang ditargetkan. Setelah itu memodifikasi proses boot sistem, membuat komputer tidak berguna dengan membatasi akses pengguna.

Ini kemudian menunjukkan catatan tebusan yang mengancam dan secara paksa me-reboot sistem. Layar CHKDSK palsu muncul yang berfungsi seperti memperbaiki beberapa masalah dengan hard drive Anda.

Kemudian sebuah tengkorak dan tulang bersilang muncul di layar, dibuat oleh seni ASCII yang dramatis. Untuk memastikan Anda tidak ketinggalan, itu meminta Anda untuk menekan tombol. Kemudian Anda diberi instruksi eksplisit tentang cara membayar jumlah yang diminta.

Untuk memulihkan file, Anda harus memasukkan kunci pribadi Anda ke portal yang disediakan. Untuk mengaksesnya Anda harus membayar 1, 33284506 bitcoin, sama dengan $ 1019.

Yang disayangkan adalah, belum ada alat yang dirilis untuk ransomware ini yang dapat mendekripsi algoritma enkripsi-nya.