Разработчик шифровальщиков Petya и Mischa создал новую вредоносную программу GoldenEye. Она почти идентична предыдущим разработкам хакера.
Ее распространение осуществляется с помощью спам-писем. Сейчас вымогательская программа ищет жертв среди немецкоязычных пользователей. Вредоносное письмо внешне похоже на обычное резюме для приема на работу. К сообщению прикреплены два файла. Один из них – это безобидный PDF-документ с текстом резюме, который должен ввести в заблуждение сотрудников отдела кадров.
Второй файл – это таблица Excel и, вместе с тем, главный загрузчик GoldenEye. После того, как жертва разрешает программе активировать макрос, происходит запуск и сохранение встроенных строк base64 в исполняемом файле, который размещается в папке temp. Затем VBA-скрипт автоматически осуществляет запуск программы, которая начинает шифрование данных на компьютере.
При получении GoldenEye суперпользовательских прав принцип действия этой программы уже отличается от Petya и Mischa. Ранее, если Petya не мог заполучить права администратора для перезаписи главной загрузочной записи, то осуществлялся запуск модуля Mischa, шифрующего файлы на компьютере. GoldenEye, наоборот, сначала запускает процесс шифрования, а затем активирует буткит, предназначенный для главной файловой таблицы жесткого диска.
После того, как процедура шифрования завершена, на экране отображается сообщение с требованием выплаты 1,3 биткоина за восстановление доступа к файлам.