Die Petya-Mischa Ransomware ist mit einer überarbeiteten Version zurückgekehrt. Es basiert ausschließlich auf dem vorherigen Produkt, verwendet jedoch einen brandneuen Namen - Golden Eye.

Wie eine typische Ransomware wurde die neue Variante Golden Eye freigelassen, um die Computer unschuldiger Opfer zu entführen und sie zur Zahlung aufzufordern. Die böswilligen Tricks sind fast identisch mit früheren Petya-Mischa-Versionen.

Die meisten Benutzer sind sowohl vorsichtig als auch zuversichtlich, dass sie kaum jemals in eine Falle geraten, die von Malware-Angreifern gestellt wird. Es ist jedoch nur eine Frage der Zeit, bis wir auf eine Bodenwelle stoßen, die zu einer Sicherheitsverletzung führen kann. Dann werden alle kleinen verdächtigen Anzeichen offensichtlich, aber bis dahin ist der Schaden bereits angerichtet worden.

Die Wissenschaft, das Vertrauen der Benutzer durch manipulative und vorsätzliche Lügen zu gewinnen, heißt Social Engineering. Dieser Ansatz wird von Cyberkriminellen seit vielen Jahren zur Verbreitung von Ransomware verwendet. Und es ist dasselbe, das die Ransomware Golden Eye bereitgestellt hat.

Wie funktioniert Golden Eye?

Es gibt Berichte, dass die Malware als Bewerbung getarnt empfangen wird. Es befindet sich im Spam-Ordner der E-Mail-Konten eines Benutzers.

Die E-Mail trägt den Titel "Bewerbung", was "Bewerbung" bedeutet. Es wird mit zwei Anhängen geliefert, die Anhänge enthalten, die angeblich Dateien sind, die für die Nachricht wichtig sind. Eine PDF-Datei - das scheint ein echter Lebenslauf zu sein. Und eine XLS (Excel-Tabelle) - hier setzt der Ransomware-Modus an.

Auf der zweiten Seite der Mail befindet sich ein Foto des behaupteten Antragstellers. Es endet mit höflichen Anweisungen zur Excel-Datei, die besagen, dass sie signifikantes Material zur Bewerbung enthält. Keine explizite Aufforderung, nur ein Vorschlag auf möglichst natürliche Weise, der so formal bleibt wie eine reguläre Bewerbung.

Wenn das Opfer auf die Täuschung hereinfällt und die Schaltfläche „Inhalt aktivieren“ in der Excel-Datei drückt, wird ein Makro ausgelöst. Nach dem erfolgreichen Start werden die eingebetteten base64-Zeichenfolgen in einer ausführbaren Datei im temporären Ordner gespeichert. Wenn die Datei erstellt wird, wird ein VBA-Skript ausgeführt, das den Verschlüsselungsprozess auslöst.

Unähnlichkeiten mit Petya Mischa:

Der Verschlüsselungsprozess von Golden Eye unterscheidet sich ein wenig von dem von Petya-Misha. Golden Eye verschlüsselt zuerst die Dateien des Computers und versucht dann, den MBR (Master Boot Record) zu installieren. Anschließend wird an jede Datei, auf die es abzielt, eine zufällige Erweiterung mit 8 Zeichen angehängt. Danach wird der Startvorgang des Systems geändert, wodurch der Computer unbrauchbar wird, indem der Benutzerzugriff eingeschränkt wird.

Anschließend wird ein drohender Lösegeldschein angezeigt und das System wird zwangsweise neu gestartet. Ein gefälschter CHKDSK-Bildschirm wird eingeblendet, der sich so verhält, als würde er einige Probleme mit Ihrer Festplatte beheben.

Dann blitzen ein Totenkopf und ein Knochenkreuz auf dem Bildschirm, die von dramatischer ASCII-Kunst geschaffen wurden. Damit Sie es nicht verpassen, werden Sie aufgefordert, eine Taste zu drücken. Anschließend erhalten Sie eine explizite Anleitung zur Bezahlung des geforderten Betrags.

Um die Dateien wiederherzustellen, müssten Sie Ihren persönlichen Schlüssel in ein bereitgestelltes Portal eingeben. Um darauf zuzugreifen, müssen Sie 1.33284506 Bitcoins bezahlen, das entspricht 1019 US-Dollar.

Leider gibt es für diese Ransomware noch kein Tool, das den Verschlüsselungsalgorithmus entschlüsseln könnte.