Ransomware GoldenEye

Bezpečnost, ,

Objevil se nový ransomware, který cílí na personální manažery v Německu. Maskuje se jako příloha se žádostí o práci. Zřejmě podle žlutého textu na černém pozadí, který uvidí ti co mu naletěli byl pojmenován GoldenEye.

GoldenEye je velice zákeřný. Email který přijde nic netušící oběti se tváří jako žádost uchazeče o práci. Obsahuje PDF s motivačním dopisem a soubor s příponou XLS (Excel). Dvě přílohy jsou pro nebezpečné emaily poměrně atypické.

Motivační dopis je poměrně zdařilí a bezpečnostní experti se domnívají, že může být i skutečný, pouze jej kyberpodvodníci zneužili. V motivačním dopise je navíc zdvořilá žádost o otevření životopisu v druhém přiloženém souboru. Po otevření XLS souboru je oběť požádána ať si aktivuje VBA (Visual Basic Macro). Právě přes VBA je následně do počítače nahrán samotný ransomware GoldenEye.

Ransomware začne postupně šifrovat soubory. Po ukončení procesu šifrování je vytvořen soubor YOUR_FILES_ARE_ENCRYPTED.TXT. U toho ale nekončí. Dojde k restartu počítače a uživateli se objeví falešné okno programu chkdsk, který jej upozorní, ať nevypíná počítač než dokončí svou práci. Přitom dojde k zašifrování MFT (Master File Table). Oběti se nakonec objeví obrazovka s lebkou a překříženými hnáty. Následují instrukce jak zaplatit výkupné, které je momentálně nastavené na 1,3 BTC (BitCoin) (některé zdroje uvádí 1,4 BTC).

GoldenEye je v tomto poněkud unikátní. Zašifruje soubory a ještě k tomu MFT. Na každý je přitom použit odlišný algoritmus, tedy i různé klíče. Je tedy otázkou co se vlastně bude dít, pokud oběť zaplatí za klíče k dešifrování MFT. Pak se totiž dostane do Windows, kde jí čekají zašifrované soubory. Bude muset zaplatit znovu?

V současné době cílí malwarová kampaň pouze na personální oddělené různých firem v Německu. Dá se však předpokládat její rozšíření i na další státy, pokud bude úspěšná. Je tedy dobré proškolit zaměstnance o nebezpečných přílohách a zajistit, že každý firemní počítač bude dostatečně chráněn proti takovýmto hrozbám. Samozřejmě to znamená i pravidelné, tedy automatické, vytváření záloh. Momentálně jsou totiž zálohy jedinou záchranou v případě úspěšného útoku GoldenEye.

Share Button

Tento článek byl byl přečten 2124 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *