„Petya“ išpirkos programa gali sugrįžti kaip auksinė akis

Turinys:

Video: What lessons can we learn from devastating NotPetya cyberattack? 2024

Video: What lessons can we learn from devastating NotPetya cyberattack? 2024
Anonim

„Petya-Mischa“ išpirkos programa sugrįžo su atnaujinta versija. Jis yra pagrįstas vien ankstesniu produktu, tačiau jam naudojamas visiškai naujas vardas - „Golden Eye“.

Kaip ir įprasta išpirkos programa, naujasis „Auksinių akių“ variantas buvo laisvas pagrobti nekaltos aukos kompiuterius ir paraginti juos susimokėti. Nustatyta, kad jos kenkėjiški triukai yra beveik identiški ankstesnėms „Petya-Mischa“ versijoms.

Daugelis vartotojų yra atsargūs ir įsitikinę, kad vargu ar kada nors pateks į spąstus, kuriuos nustatė kenkėjiškų programų užpuolikai. Tačiau tik laiko klausimas, kol mes atsitrenksime į smulkesnį, nedidelį, smūgį, kuris gali sukelti saugumo pažeidimą. Tada visi maži įtartini požymiai tampa akivaizdūs, tačiau iki tol žala jau padaryta.

Taigi mokslas, kaip pelnyti vartotojų pasitikėjimą manipuliaciniu ir apgalvotu melu, vadinamas socialine inžinerija. Būtent tokį požiūrį daugelį metų naudoja kibernetiniai nusikaltėliai skleisdami išpirkos programas. Ir tai yra tas pats, kurį įdiegė išpirkos programa „Golden Eye“.

Kaip veikia Auksinė akis?

Yra pranešimų, kad kenkėjiška programa yra gauta, paslėpta kaip darbo prašymas. Jis yra vartotojo el. Pašto abonementų šlamšto aplanke.

El. Paštas pavadintas „Bewerbung“, tai reiškia „programa“. Kartu pateikiami du priedai, kuriuose yra priedų, kurie yra failai, svarbūs pranešimui. PDF failas - atrodo, kad tai yra tikras gyvenimo aprašymas. Ir XLS („Excel“ skaičiuoklė) - štai kur prasideda „ransomware“ modus operandi.

Antrame laiško puslapyje yra nurodyto pareiškėjo nuotrauka. Tai baigiasi mandagiomis instrukcijomis apie „Excel“ failą, teigiant, kad joje yra reikšmingos medžiagos, susijusios su darbo prašymu. Nėra aiškaus reikalavimo, tiesiog pasiūlymas pačiu natūraliausiu įmanomu būdu, išlaikant jį kaip oficialų kaip įprastą prašymą įsidarbinti.

Jei auka patenka dėl apgaulės ir paspaudžia mygtuką „Įgalinti turinį“ „Excel“ faile, suveikia makrokomanda. Sėkmingai paleidus, jis išsaugo įterptas „base64“ eilutes į vykdomąjį failą, esantį aplanke „temp“. Kai failas yra sukurtas, paleistas VBA scenarijus, kuris iššaukia šifravimo procesą.

Skirtumai su Petya Mischa:

„Auksinių akių“ šifravimo procesas šiek tiek skiriasi nuo „Petya-Misha“. „Golden Eye“ pirmiausia užšifruoja kompiuterio failus ir bando įdiegti MBR („Master Boot Record“). Tada prie kiekvieno failo, kuriam jis skirtas, pridedamas atsitiktinis 8 simbolių plėtinys. Po to jis modifikuoja sistemos įkrovos procesą, todėl kompiuteris tampa nenaudingas ribojant vartotojo prieigą.

Tada parodomas grėsmingas išpirkos raštas ir prievarta perkraunama sistema. Iškyla netikras CHKDSK ekranas, kuris veikia taip, lyg taisytų kai kurias problemas kietajame diske.

Tada ekrane mirksi kaukolė ir kryžminis kaulas, padarytas dramatišku ASCII menu. Norėdami įsitikinti, kad jo nepraleidote, jis prašo paspausti mygtuką. Tada jums bus duoti aiškūs nurodymai, kaip sumokėti reikalaujamą sumą.

Norėdami atkurti failus, jums reikės įvesti asmeninį raktą į pateiktą portalą. Norėdami jį pasiekti turėsite sumokėti 1, 33284506 bitkoinus, lygius 1019 USD.

Kaip gaila, dar nėra išleistas įrankis šiai išpirkos programai, kuris galėtų iššifruoti jos šifravimo algoritmą.

„Petya“ išpirkos programa gali sugrįžti kaip auksinė akis