Petya-Mischa 랜섬웨어는 개정 된 버전으로 컴백했습니다. 이전 제품만을 기반으로하지만 새로운 이름 인 Golden Eye를 사용합니다.

일반적인 랜섬웨어와 마찬가지로 새로운 변종 인 Golden Eye는 무고한 피해자의 컴퓨터를 가로 채서 지불하도록 촉구했습니다. 악의적 인 트릭은 이전 Petya-Mischa 버전과 거의 동일합니다.

대부분의 사용자는 신중하고 맬웨어 공격자가 설정 한 함정에 빠지지 않을 것이라고 확신합니다. 그러나 보안에 문제를 일으킬 수있는 작은 충돌에 부딪 칠 때까지는 시간 문제 일뿐입니다. 그때, 모든 작은 의심스러운 징후가 분명해 지지만 그때까지 피해는 이미 끝났습니다.

따라서 조작 및 사전 거짓말로 사용자의 신뢰를 얻는 과학을 사회 공학이라고합니다. 랜섬웨어를 유포하기 위해 사이버 범죄자들이 수년 동안 사용한 방식입니다. 랜섬웨어 Golden Eye가 배포 한 것과 동일합니다.

골든 아이는 어떻게 작동합니까?

맬웨어가 작업 응용 프로그램으로 위장하여 수신되었다는보고가 있습니다. 사용자 이메일 계정의 스팸 폴더에 있습니다.

이메일 제목은 '응용 프로그램'을 의미하는 'Bewerbung'입니다. 메시지에 중요한 파일로 제공되는 첨부 파일이 포함 된 두 개의 첨부 파일이 제공됩니다. PDF 파일 – 진짜 이력서처럼 보입니다. 그리고 XLS (Excel 스프레드 시트) – 랜섬웨어의 modus operandi가 시작됩니다.

우편의 두 번째 페이지에는 주장 된 신청자의 사진이 있습니다. 그것은 엑셀 파일에 대한 정중 한 지시로 끝나며, 작업 응용 프로그램과 관련하여 중요한 자료가 들어 있다고 말합니다. 명백한 요구가 없으며 가능한 가장 자연스러운 방법으로 제안하여 일반 작업 응용 프로그램처럼 공식적으로 유지하십시오.

피해자가기만에 빠지고 Excel 파일에서 "컨텐츠 사용"버튼을 누르면 매크로가 트리거됩니다. 성공적으로 시작한 후 포함 된 base64 문자열을 temp 폴더의 실행 파일에 저장합니다. 파일이 작성되면 VBA 스크립트가 실행되고 암호화 프로세스가 시작됩니다.

Petya Mischa와의 차이점:

Golden Eye의 암호화 프로세스는 Petya-Misha의 암호화 프로세스와 약간 다릅니다. Golden Eye는 컴퓨터 파일을 먼저 암호화 한 다음 MBR (Master Boot Record) 설치를 시도합니다. 그런 다음 대상으로하는 각 파일에 임의의 8 자 확장자를 추가합니다. 그런 다음 시스템의 부팅 프로세스를 수정하여 사용자 액세스를 제한하여 컴퓨터를 쓸모 없게 만듭니다.

그런 다음 위협하는 몸값을 표시하고 시스템을 강제로 재부팅합니다. 하드 드라이브의 일부 문제를 복구하는 것처럼 작동하는 가짜 CHKDSK 화면이 나타납니다.

그런 다음 극적인 ASCII 아트로 만든 해골과 십자가 뼈가 화면에 깜박입니다. 놓치지 않으려면 키를 누르라는 메시지가 표시됩니다. 그런 다음 요구 금액을 지불하는 방법에 대한 명시적인 지침이 제공됩니다.

파일을 복구하려면 제공된 포털에 개인 키를 입력해야합니다. 액세스하려면 $ 1019에 해당하는 1.33284506 비트 코인을 지불해야합니다.

안타깝게도 암호화 알고리즘을 해독 할 수있는이 랜섬웨어 용 도구는 아직 출시되지 않았습니다.