Автор вымогательского «дуэта» Petya-Mischa вернулся с новой версией вредоноса, получившей название GoldenEye (очевидно, своеобразная дань уважения фильмам о Джеймсе Бонде). Внимание экспертов Bleeping Computer к вредоносу привлек пользователь с псевдонимом gizmo21.
GoldenEye практически идентичен Petya-Mischa и распространяется посредством спам-писем. В настоящее время вымогатель атакует немецкоязычных пользователей. Вредоносное письмо выглядит как обычное резюме для приема на работу с двумя вложенными файлами. Один из них, PDF-файл, безобидный и представляет собой непосредственно резюме, главное предназначение которого – введение в заблуждение сотрудников отдела кадров.
Второй файл представляет собой таблицу Excel и является главным загрузчиком GoldenEye. Когда жертва дает разрешение на активацию контента, макрос запускает и сохраняет встроенные строки base64 в исполняемом файле в папке temp. После создания файла VBA-скрипт автоматически запускает программу, начинающую процесс шифрования хранящейся на компьютере информации.
Когда GoldenEye получает права суперпользователя, его принцип действия уже отличается от Petya-Mischa. В прошлом, если Petya не удавалось получить права администратора, чтобы переписать главную загрузочную запись, запускался модуль Mischa, шифрующий файлы на компьютере. GoldenEye, напротив, сначала инициирует процесс шифрования, а затем запускает буткит для шифрования главной файловой таблицы жесткого диска.
Вредонос шифрует файлы жертвы подобно другим вымогателям и добавляет расширение из 8 символов. Кроме того, GoldenEye модифицирует главную загрузочную запись. По завершении процесса шифрования на экране появляется уведомление с требованием заплатить 1,3 биткойна (около $1 тыс.) за восстановления доступа к файлам. За вышеописанный процесс отвечает модуль Mischa, тогда как Petya является шифровальщиком жесткого диска. Когда Mischa заканчивает свою работу, в игру вступает Petya.
Источник: securitylab.ru