حققت Petya-Mischa ransomware عودة مع إصدار تجديده. يعتمد فقط على المنتج السابق ولكنه يستخدم اسمًا جديدًا - Golden Eye.

مثل الفدية النموذجية ، تم ضبط "العين الذهبية" الجديدة المتنوعة على اختطاف أجهزة الكمبيوتر الخاصة بالضحية البريئة وحثها على الدفع. تم العثور على الحيل الخبيثة متطابقة تقريبا مع الإصدارات السابقة بيتيا ميشا.

معظم المستخدمين حذرون وكذلك واثقون من أنهم لن يكادون يقعون في فخ وضعه مهاجمو البرامج الضارة. لكنها مسألة وقت فقط حتى نتعثر ، نتوء بسيط يمكن أن يؤدي إلى خرق للأمن. بعد ذلك ، تصبح كل العلامات الصغيرة المشبوهة واضحة ، لكن حتى ذلك الحين تم بالفعل تلفها.

لذلك ، فإن علم كسب ثقة المستخدمين عن طريق الأكاذيب المتعمدة والمتعمدة يسمى الهندسة الاجتماعية. هذا هو النهج الذي استخدمه مجرمو الإنترنت لسنوات عديدة لنشر فدية. وهو نفسه الذي انتشرته رانسومواري Golden Eye.

كيف تعمل العين الذهبية؟

هناك تقارير تفيد بأن البرمجيات الخبيثة قد استلمت ، متنكرة في شكل طلب وظيفة. إنه موجود في مجلد البريد العشوائي لحسابات البريد الإلكتروني للمستخدم.

عنوان البريد الإلكتروني هو "Bewerbung" وهذا يعني "التطبيق". يأتي مع مرفقين يحتويان على مرفقات يزعم أنهما ملفان مهمان للرسالة. ملف PDF - يبدو أنه استئناف حقيقي. و XLS (جدول بيانات Excel) - هذا هو المكان الذي تنطلق فيه طريقة عمل الفدية.

في الصفحة الثانية من البريد ، توجد صورة لمقدم الطلب المؤكد. ينتهي بتعليمات مهذبة حول ملف excel ، مع الإشارة إلى أنه يحتوي على مواد مهمة فيما يتعلق بطلب الوظيفة. لا يوجد طلب صريح ، مجرد اقتراح بأكثر الطرق الطبيعية الممكنة ، مما يجعله رسميًا كالتقدم لوظيفة عادية.

إذا وقع الضحية بسبب الخداع وضغط على زر "تمكين المحتوى" في ملف excel ، يتم تشغيل ماكرو. بعد بدء التشغيل بنجاح ، يحفظ السلاسل base64 المدمجة في ملف قابل للتنفيذ في مجلد temp. عند إنشاء الملف ، يتم تشغيل برنامج نصي VBA وينتج عنه عملية التشفير.

الاختلافات مع بيتيا ميشا:

تختلف عملية تشفير Golden Eye قليلاً عن طريقة Petya-Misha. تقوم Golden Eye بتشفير ملفات الكمبيوتر أولاً ثم محاولة تثبيت MBR (سجل التشغيل الرئيسي). ثم يقوم بإلحاق ملحق عشوائي مكون من 8 أحرف على كل ملف يستهدفه. بعد ذلك ، يعدل عملية التمهيد للنظام ، مما يجعل الكمبيوتر عديم الفائدة عن طريق تقييد وصول المستخدم.

ثم يظهر ملاحظة فدية تهديد وإعادة تمهيد النظام بالقوة. تعمل شاشة CHKDSK المزيفة المنبثقة التي تعمل كأنها تعمل على إصلاح بعض المشكلات مع محرك الأقراص الثابتة.

ثم جمجم ومضة عظمية على الشاشة ، مصنوعة من فن ASCII الدرامي. للتأكد من أنك لا تفوت ، يطلب منك الضغط على مفتاح. ثم يتم إعطاء إرشادات صريحة حول كيفية دفع المبلغ المطلوب.

لاستعادة الملفات ، ستحتاج إلى إدخال مفتاحك الشخصي إلى بوابة مقدمة. للوصول إليه ، يجب عليك دفع 1.33284506 bitcoins ، أي ما يعادل 1019 دولار.

الأمر المؤسف هو أنه لا يوجد حتى الآن أي أداة تم إصدارها لهذه الفدية والتي يمكنها فك تشفير خوارزمية التشفير الخاصة بها.