Le ransomware Petya-Mischa a fait son grand retour avec une version revampée. Il est uniquement basé sur le produit précédent mais utilise un nouveau nom - Golden Eye.

Comme une ransomware typique, la nouvelle variante Golden Eye a été lancée pour détourner les ordinateurs de victimes innocentes et les inciter à payer. Ses astuces malveillantes sont presque identiques aux versions précédentes de Petya-Mischa.

La plupart des utilisateurs sont prudents et confiants qu'ils ne tomberont presque jamais dans le piège des pirates informatiques. Mais ce n'est qu'une question de temps avant que nous ne rencontrions une bosse, une bosse mineure qui pourrait conduire à une violation de la sécurité. C'est alors que tous les petits signes suspects deviennent évidents, mais jusque-là le mal était déjà fait.

Ainsi, la science qui consiste à gagner la confiance des utilisateurs grâce à des mensonges manipulateurs et prémédités est appelée ingénierie sociale. C'est cette approche que les cybercriminels utilisent depuis de nombreuses années pour diffuser des ransomwares. Et est le même que le ransomware Golden Eye a déployé.

Comment fonctionne Golden Eye?

Des rapports signalent que le logiciel malveillant est reçu, déguisé en candidature à un poste. Il se trouve dans le dossier spam des comptes de messagerie d'un utilisateur.

L'e-mail s'intitule "Bewerbung", ce qui signifie "application". Il est livré avec deux pièces jointes contenant des pièces jointes prétendument être des fichiers, importants pour le message. Un fichier PDF - qui semble être un véritable CV. Et un fichier XLS (tableur Excel) - c’est là que le modus operandi du ransomware entre en jeu.

Sur la deuxième page du courrier, il y a une photo du demandeur revendiqué. Il se termine par des instructions polies sur le fichier Excel, indiquant qu'il contient des informations importantes concernant la candidature à un poste. Pas de demande explicite, juste une suggestion de la manière la plus naturelle possible, en la gardant aussi formelle qu’une candidature régulière.

Si la victime tombe dans le piège et appuie sur le bouton «Activer le contenu» dans le fichier Excel, une macro est déclenchée. Une fois le lancement réussi, il enregistre les chaînes base64 incorporées dans un fichier exécutable du dossier temporaire. Lorsque le fichier est créé, un script VBA s'exécute et déclenche le processus de cryptage.

Différences avec Petya Mischa:

Le processus de cryptage de Golden Eye est un peu différent de celui de Petya-Misha. Golden Eye chiffre d'abord les fichiers de l'ordinateur, puis tente d'installer le MBR (Master Boot Record). Il ajoute ensuite une extension aléatoire de 8 caractères à chaque fichier ciblé. Après cela, il modifie le processus de démarrage du système, rendant l'ordinateur inutilisable en limitant l'accès des utilisateurs.

Il affiche ensuite une note de rançon menaçante et redémarre de force le système. Un faux écran CHKDSK apparaît, il agit comme s'il corrigeait certains problèmes avec votre disque dur.

Ensuite, un crâne et un os croisé apparaissent à l’écran, réalisés selon l’art dramatique ASCII. Pour vous assurer de ne pas le manquer, il vous demande d'appuyer sur une touche. Ensuite, vous recevez des instructions explicites sur la façon de payer la somme demandée.

Pour récupérer les fichiers, vous devez entrer votre clé personnelle sur un portail fourni. Pour y accéder, vous devrez payer 1.33284506 bitcoins, soit 1019 $.

Ce qui est malheureux, c’est qu’il n’ya pas encore d’outil publié pour ce ransomware qui pourrait décrypter son algorithme de cryptage.