Локер GoldenEye продолжает дело «Пети» и «Миши»

Автор убийственного сочетания вымогателей Petya и Mischa вернулся с новой версией вымогателя, получившей название GoldenEye в честь одного из фильмов бондианы. Новый штамм зловреда заметил эксперт Bleeping Computer под ником gizmo21. Исследователь отмечает, что GoldenEye практически идентичен Petya и Mischa.

В данный момент локер распространяется с вредоносным спамом и нацелен на пользователей из Германии. Спам-сообщение маскируется под отклик на вакансию и содержит поддельное резюме в формате PDF и таблицу Excel. Excel-файл имеет типовое название вроде «Meinel-Bewerbung.xls» (в переводе с немецкого — «[Фамилия]-Сопроводительное письмо»). В таблице содержится вредоносный макрос, который при запуске устанавливает зловред на компьютер.

Когда макрос запущен, GoldenEye действует так же, как Petya и Mischa. Как Mischa, он шифрует файлы, добавляя к названию случайное расширение из восьми символов, а затем модифицирует главную загрузочную запись жесткого диска (MBR) и демонстрирует требование выкупа в виде файла YOUR_FILES_ARE_ENCRYPTED.TXT. После этого к делу приступает ипостась Petya, шифрующая главную файловую таблицу операционной системы (MFT). Зловред принудительно перезагружает компьютер и начинает шифровать MFT, маскируя этот процесс фальшивым экраном утилиты chkdsk, проверяющей том на наличие ошибок.

Когда дело сделано, на экране появляется новая заставка с текстом требования выкупа. Интересно, что в этот раз запоминающаяся картинка использует желтый цвет (видимо, это отсылка к «Золотому глазу»), тогда как при заражении Petya она была красной, а при заражении Mischa — зеленой.

Для расшифровки файлов жертвам нужно получить «персональный код» от злоумышленников и ввести его на нужной странице в Дарквебе. Это будет стоить пользователю 1,33284506 биткойна (около $1 тыс.). Также авторы GoldenEye озаботились специальной страницей техподдержки для общения с пользователями.

За разработкой Petya и Mischa (и, скорее всего, GoldenEye) стоит киберпреступник, известный как Janus и до октября 2016 года предлагавший комбонабор из Petya и Mischa по модели «вымогатель как услуга» через свой сайт Janus Cybercrime. Очевидно, он большой поклонник Джеймса Бонда, так как название сайта повторяет название киберпреступного синдиката Janus Syndicate из фильма бондианы «Золотой глаз» 1995 года.