Автор вымогательского ПО Petya выразил дань уважения Джеймсу Бонду

Тема в разделе "Новости / News", создана пользователем alterego, 11 дек 2016.

  1. alterego

    alterego ProCrd
    Регистрация:
    6 сен 2016
    Сообщения:
    104
    Симпатии:
    118
    Пол:
    Мужской
    Jabber:
    Alterego@procrd.pro
    Автор вымогательского «дуэта» Petya-Mischa вернулся с новой версией вредоноса, получившей название GoldenEye (очевидно, своеобразная дань уважения фильмам о Джеймсе Бонде). Внимание экспертов Bleeping Computer к вредоносу привлек пользователь с псевдонимом gizmo21.

    GoldenEye практически идентичен Petya-Mischa и распространяется посредством спам-писем. В настоящее время вымогатель атакует немецкоязычных пользователей. Вредоносное письмо выглядит как обычное резюме для приема на работу с двумя вложенными файлами. Один из них, PDF-файл, безобидный и представляет собой непосредственно резюме, главное предназначение которого – введение в заблуждение сотрудников отдела кадров.

    Второй файл представляет собой таблицу Excel и является главным загрузчиком GoldenEye. Когда жертва дает разрешение на активацию контента, макрос запускает и сохраняет встроенные строки base64 в исполняемом файле в папке temp. После создания файла VBA-скрипт автоматически запускает программу, начинающую процесс шифрования хранящейся на компьютере информации.

    Когда GoldenEye получает права суперпользователя, его принцип действия уже отличается от Petya-Mischa. В прошлом, если Petya не удавалось получить права администратора, чтобы переписать главную загрузочную запись, запускался модуль Mischa, шифрующий файлы на компьютере. GoldenEye, напротив, сначала инициирует процесс шифрования, а затем запускает буткит для шифрования главной файловой таблицы жесткого диска.

    Вредонос шифрует файлы жертвы подобно другим вымогателям и добавляет расширение из 8 символов. Кроме того, GoldenEye модифицирует главную загрузочную запись. По завершении процесса шифрования на экране появляется уведомление с требованием заплатить 1,3 биткойна (около $1 тыс.) за восстановления доступа к файлам. За вышеописанный процесс отвечает модуль Mischa, тогда как Petya является шифровальщиком жесткого диска. Когда Mischa заканчивает свою работу, в игру вступает Petya.