Ransomware för Petya-Mischa har gjort ett comeback med en moderniserad version. Den är enbart baserad på den tidigare produkten men den använder ett helt nytt namn - Golden Eye.

Som en typisk ransomware har den nya varianten Golden Eye frigjorts för att kapa oskyldiga offerets datorer och uppmanar dem att betala upp. Dess skadliga tricks har visat sig vara nästan identiska med tidigare Petya-Mischa-versioner.

De flesta användare är försiktiga och säkra på att de knappast någonsin skulle falla för en fälla som angrips av skadlig programvara. Men det är bara en fråga om tid tills vi träffar en ojämnhet, en mindre bult som kan leda till ett säkerhetsbrott. Det är då alla små misstänkta tecken blir uppenbara men fram till dess har skadan redan gjorts.

Så, vetenskapen om att tjäna användarnas förtroende genom manipulativa och förutbestämda lögner kallas Social Engineering. Det är denna strategi som har använts av cyberbrottslingar i många år för att sprida ransomware. Och är samma som ransomware Golden Eye har distribuerat.

Hur fungerar Golden Eye?

Det finns rapporter om att skadlig programvara tas emot, förklädd som en jobbansökan. Den sitter i skräppostmappen för en användares e-postkonton.

E-postadressen heter "Bewerbung" som betyder "applikation". Det kommer med två bilagor som innehåller bilagor som påstås vara filer, viktiga för meddelandet. En PDF-fil - som verkar vara ett genuint CV. Och ett XLS (Excel-kalkylblad) - det är här som ransomwarens modus operandi startar.

På postens andra sida finns ett fotografi av den hävdade sökanden. Det avslutas med artiga anvisningar om Excel-filen, där de anger att det innehåller betydande material angående jobbsökningen. Ingen uttrycklig efterfrågan, bara ett förslag på det mest naturliga sättet som möjligt, hålla det lika formellt som en vanlig ansökan.

Om offret faller för bedrägeriet och trycker på knappen "Aktivera innehåll" i Excel-filen, utlöses ett makro. Efter framgångsrikt lansering sparar det de inbäddade bas64-strängarna i en körbar fil i temp-mappen. När filen skapas körs ett VBA-skript och det framkallar krypteringsprocessen.

Mislikheter med Petya Mischa:

Krypteringsprocessen för Golden Eye skiljer sig lite från Petya-Mishas. Golden Eye krypterar först datorns filer och försöker sedan installera MBR (Master Boot Record). Den lägger sedan till en slumpmässig 8-teckenförlängning på varje fil den riktar sig till. Efter det modifierar det startprocessen för systemet, vilket gör datorn värdelös genom att begränsa användaråtkomst.

Den visar sedan en hotande lösningsmeddelande och startar om med kraft på systemet. En falsk CHKDSK-skärm dyker upp som fungerar som om den reparerar vissa problem med din hårddisk.

Sedan blinkar en skalle och ett korsben på skärmen, gjord av dramatisk ASCII-konst. För att se till att du inte missar den ber den dig att trycka på en knapp. Då får du uttryckliga instruktioner om hur du betalar det krävda beloppet.

För att återställa filerna måste du ange din personliga nyckel till en medföljande portal. För att komma åt den måste du betala 1.33284506 bitcoins, lika med $ 1019.

Vad som är olyckligt är att det ännu inte har släppts något verktyg för denna ransomware som kan dekryptera dess krypteringsalgoritm.