El ransomware Petya-Mischa ha regresado con una versión renovada. Se basa únicamente en el producto anterior, pero utiliza un nombre completamente nuevo: Golden Eye.

Al igual que un ransomware típico, la nueva variante Golden Eye se ha liberado para secuestrar las computadoras de víctimas inocentes e instarlas a pagar. Se descubre que sus trucos maliciosos son casi idénticos a las versiones anteriores de Petya-Mischa.

La mayoría de los usuarios son cautelosos y confían en que casi nunca caerán en una trampa establecida por los atacantes de malware. Pero es solo cuestión de tiempo hasta que lleguemos a un golpe, un golpe menor que podría conducir a una violación de la seguridad. Es entonces, todos los pequeños signos sospechosos se vuelven obvios, pero hasta entonces el daño ya estaba hecho.

Entonces, la ciencia de ganarse la confianza de los usuarios mediante mentiras manipuladoras y premeditadas se llama Ingeniería Social. Este enfoque ha sido utilizado por los ciberdelincuentes durante muchos años para difundir ransomware. Y es el mismo que ha implementado el ransomware Golden Eye.

¿Cómo funciona Golden Eye?

Hay informes de que se recibe el malware, disfrazado como una solicitud de empleo. Se encuentra en la carpeta de correo no deseado de las cuentas de correo electrónico de un usuario.

El correo electrónico se titula 'Bewerbung' que significa 'aplicación'. Viene con dos archivos adjuntos que contienen archivos adjuntos que pretenden ser archivos, importantes para el mensaje. Un archivo PDF, que parece ser un currículum genuino. Y una XLS (hoja de cálculo de Excel): aquí es donde entra en funcionamiento el modus operandi del ransomware.

En la segunda página del correo, hay una fotografía del solicitante afirmado. Termina con instrucciones educadas sobre el archivo de Excel, indicando que contiene material significativo con respecto a la solicitud de empleo. No hay una demanda explícita, solo una sugerencia de la manera más natural posible, manteniéndola tan formal como una solicitud de empleo regular.

Si la víctima cae en el engaño y presiona el botón "Habilitar contenido" en el archivo de Excel, se activa una macro. Después de iniciar con éxito, guarda las cadenas base64 incrustadas en un archivo ejecutable en la carpeta temporal. Cuando se crea el archivo, se ejecuta una secuencia de comandos VBA y genera el proceso de cifrado.

Diferencias con Petya Mischa:

El proceso de encriptación de Golden Eye es un poco diferente al de Petya-Misha. Golden Eye cifra primero los archivos de la computadora y luego intenta instalar el MBR (Master Boot Record). Luego agrega una extensión aleatoria de 8 caracteres en cada archivo al que apunta. Después de eso, modifica el proceso de arranque del sistema, inutilizando la computadora al restringir el acceso del usuario.

Luego muestra una nota de rescate amenazante y reinicia por la fuerza el sistema. Aparece una pantalla emergente falsa de CHKDSK que actúa como si estuviera reparando algunos problemas con su disco duro.

Luego, una calavera y un hueso cruzado parpadean en la pantalla, realizados por arte dramático ASCII. Para asegurarse de no perderse, le pide que presione una tecla. Luego se le dan instrucciones explícitas sobre cómo pagar la suma exigida.

Para recuperar los archivos, deberá ingresar su clave personal en un portal proporcionado. Para acceder tendrá que pagar 1.33284506 bitcoins, equivalentes a $ 1019.

Lo que es lamentable es que todavía no se ha lanzado ninguna herramienta para este ransomware que pueda descifrar su algoritmo de cifrado.