Автор вымогательского ПО Petya выразил дань уважения Джеймсу Бонду

Автор вымогательского ПО Petya выразил дань уважения Джеймсу Бонду

Разработчик выпустил новую версию шифровальщика под названием GoldenEye.

image

Автор вымогательского «дуэта» Petya-Mischa вернулся с новой версией вредоноса, получившей название GoldenEye (очевидно, своеобразная дань уважения фильмам о Джеймсе Бонде). Внимание экспертов Bleeping Computer к вредоносу привлек пользователь с псевдонимом gizmo21.

GoldenEye практически идентичен Petya-Mischa и распространяется посредством спам-писем. В настоящее время вымогатель атакует немецкоязычных пользователей. Вредоносное письмо выглядит как обычное резюме для приема на работу с двумя вложенными файлами. Один из них, PDF-файл, безобидный и представляет собой непосредственно резюме, главное предназначение которого – введение в заблуждение сотрудников отдела кадров.

Второй файл представляет собой таблицу Excel и является главным загрузчиком GoldenEye. Когда жертва дает разрешение на активацию контента, макрос запускает и сохраняет встроенные строки base64 в исполняемом файле в папке temp. После создания файла VBA-скрипт автоматически запускает программу, начинающую процесс шифрования хранящейся на компьютере информации.

Когда GoldenEye получает права суперпользователя, его принцип действия уже отличается от Petya-Mischa. В прошлом, если Petya не удавалось получить права администратора, чтобы переписать главную загрузочную запись, запускался модуль Mischa, шифрующий файлы на компьютере. GoldenEye, напротив, сначала инициирует процесс шифрования, а затем запускает буткит для шифрования главной файловой таблицы жесткого диска.

Вредонос шифрует файлы жертвы подобно другим вымогателям и добавляет расширение из 8 символов. Кроме того, GoldenEye модифицирует главную загрузочную запись. По завершении процесса шифрования на экране появляется уведомление с требованием заплатить 1,3 биткойна (около $1 тыс.) за восстановления доступа к файлам. За вышеописанный процесс отвечает модуль Mischa, тогда как Petya является шифровальщиком жесткого диска. Когда Mischa заканчивает свою работу, в игру вступает Petya.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle