El software de rescate Petya-Mischa ha vuelto con una versión renovada. Se basa únicamente en el producto anterior, pero utiliza un nuevo nombre: Golden Eye.
Como un típico programa de rescate, la nueva variante Golden Eye ha sido lanzada para secuestrar los ordenadores de las víctimas inocentes e instarlas a que paguen. Sus trucos maliciosos son casi idénticos a los de versiones anteriores de Petya-Mischa.
La mayoría de los usuarios son cautelosos y confían en que casi nunca caerían en una trampa tendida por los atacantes de malware. Pero es sólo cuestión de tiempo hasta que choquemos con un bache, un bache menor que podría conducir a una brecha en la seguridad. Es entonces cuando todos los pequeños signos sospechosos se hacen evidentes, pero hasta entonces el daño ya estaba hecho.
Así, la ciencia de ganarse la confianza de los usuarios con mentiras manipuladoras y premeditadas se llama Ingeniería Social. Es este enfoque el que han utilizado los ciberdelincuentes durante muchos años para difundir el software de rescate. Y es el mismo que ha desplegado el programa de rescate Golden Eye.
¿Cómo funciona Golden Eye?
Hay informes de que el malware es recibido, disfrazado de una solicitud de trabajo. Se encuentra en la carpeta de spam de las cuentas de correo electrónico de un usuario.
El correo electrónico se titula Bewerbung que significa aplicación . Viene con dos archivos adjuntos que contienen archivos que pretenden ser archivos, importantes para el mensaje. Un archivo PDF – que parece ser un currículum vitae genuino. Y un XLS (hoja de cálculo de Excel) – aquí es donde se activa el modus operandi del ransomware.
En la segunda página del correo, hay una fotografía del solicitante declarado. Termina con instrucciones amables sobre el archivo Excel, indicando que contiene material significativo sobre la solicitud de empleo. No hay demanda explícita, sólo una sugerencia de la manera más natural posible, manteniéndola tan formal como una solicitud de empleo regular.
Si la víctima cae en el engaño y pulsa el botón «Habilitar contenido» en el archivo Excel, se activa una macro. Después de iniciarse con éxito, guarda las cadenas base64 incrustadas en un archivo ejecutable en la carpeta temporal. Cuando se crea el archivo, se ejecuta un script VBA que provoca el proceso de cifrado.
Disimilitudes con Petya Mischa:
El proceso de encriptación de Golden Eye es un poco diferente al de Petya-Misha. Golden Eye encripta primero los archivos de la computadora y luego intenta instalar el MBR (Master Boot Record). A continuación, añade una extensión aleatoria de 8 caracteres a cada archivo al que se dirige. Después de eso, modifica el proceso de arranque del sistema, haciendo que el ordenador sea inútil al restringir el acceso de los usuarios.
A continuación, muestra una nota de rescate amenazante y reinicia el sistema por la fuerza. Aparece una pantalla CHKDSK falsa que actúa como si estuviera reparando algunos problemas con su disco duro.
Luego un cráneo y una cruz de hueso destellan en la pantalla, hechos por el dramático arte ASCII. Para asegurarte de que no te lo pierdas, te pide que oprimas una tecla. A continuación, se le darán instrucciones explícitas sobre cómo pagar la suma exigida.
Para recuperar los archivos, deberá introducir su clave personal en el portal proporcionado. Para acceder a él tendrá que pagar 1.33284506 bitcoins, equivalente a $1019.
Lo que es desafortunado es que aún no se ha lanzado ninguna herramienta para este software de rescate que pueda descifrar su algoritmo de encriptación.