Goldeneye ransomware: der Lebenslauf der Ihren Computer zweimal scrambles

Eine jüngste Spam-Kampagne in Deutschland zeigt die Art von Techniken, die Cyberkriminelle überdenken: Diese führte eine neue Belastung von Ransomware ein, die sich Goldeneye nennt und nicht mit zwei Attachments, einer PDF-Datei und einer XLS (Excel-Tabelle) kommt:

Sogar unvorsichtige Benutzer sind über unerwartete Excel-Dateien in diesen Tagen besorgt, was vermutlich ist, warum diese Gauner eine unsuspicious, nicht infizierte PDF-Datei mit einer höflichen Job-Anwendung (das Wort Bewerbung im E-Mail-Betreff bedeutet Anwendung), nur um den Ball ins Rollen:

(Wir haben die Details widergespiegelt, weil wir davon ausgehen, dass die Gauner einen wirklichen Lebenslauf für Verisimilität gestohlen haben und wir nicht die Person, deren persönliche Informationen im Dokument erscheinen, benennen und beschämen wollen).

Die zweite Seite enthält ein Foto des angeblichen Antragstellers, und die letzte Seite sehr höflich weist darauf hin, dass die Excel-Datei enthält die sehr Details, die Sie vernünftigerweise in einer Bewerbung erwarten:

Es gibt keine explizite Nachfrage, um die Datei zu öffnen, nur eine implizite Vorschlag, dass die Öffnung, wie jede fleißige HR Person tun könnte, wird gut funktionieren,

Einfach gesagt, die Gauner versuchen, die E-Mail aussehen wie „Business as usual“.

Selbst wenn Sie nicht im Moment mieten, kann Ihr Unternehmen eine von vielen, die die CVs der geeigneten Bewerber auf Datei hält, so dass die Überprüfung ihrer Dokumente ist nicht abnormal, und in der Regel nicht zu Malware führen.

Was als nächstes?

Wenn Sie die Exel-Datei öffnen, sehen Sie keine persönlichen Informationen, aber Sie erhalten einen Vorschlag, wie Sie die behaupteten Eignungs-Test-Informationen zu bringen:

Die Gauner bitten Sie nicht offen, irgendetwas offensichtlich riskant, wie „Makros aktivieren“ oder „Deaktivieren Sie die Standard-Sicherheitskonfiguration“ zu tun, aber sie ermutigen Sie, eine Änderung an Ihren Office-Einstellungen vorzunehmen, etwas, von dem Excel Sie einladen wird Da die Datei die sogenannten Visual Basic für Applikationen (VBA) -Makros enthält.

Die VBA-Programmiersprache, die in Office-Makros verwendet wird, ist ein leistungsstarkes System, das nicht nur einem Programmierer erlaubt, Word oder Excel programmgesteuert zu steuern, sondern auch allgemeinere Aktionen wie das Herunterladen von Dateien aus dem Internet auszuführen, auf Datenträger zu speichern und auszuführen.

In anderen Worten, Office-Makros sind potenziell so gefährlich wie Full-Blown Windows ausführbare Dateien, so dass die Verringerung der Sicherheit auf dem Say-so einer Tabelle wie diese ist eine riskante Sache zu tun.

In der Tat, wenn Sie erlauben Makros in dieser Excel-Datei laufen, werden Sie es schnell bereuen: die VBA lädt eine Kopie der Goldeneye ransomware und sofort startet es.

Sie sehen nichts zuerst, aber die Malware beginnt bald die Verschlüsselung der Datendateien auf Ihrer Festplatte und hinterlässt eine Reihe von Dateien namens YOUR_FILES_ARE_ENCRYPTED.TXT, die Ihnen sagen, die schlechte Nachricht:

Die meisten File-Scrambling Ransomware stoppt dort, aber Goldeneye geht in BAT ein zweites Mal, läuft eine modifizierte Version der Petya ransomware, um die Master File Table (MFT) Ihrer Festplatte als auch zu verschlüsseln.

Die MFT ist der Teil Ihres Datenträgers, der verfolgt, welche Sektoren zu welchen Dateien gehören und macht es so entscheidend für Ihre Festplatte:

Ohne die MFT ist Ihre Platte wie eine ganze Bibliothek von Büchern, die in einen Haufen von einzelnen Seiten zerrissen und dann gründlich gemischt wurden: die Rohdaten sind da, irgendwo, aber das Zusammennähen ist so schwierig, fast unmöglich zu sein.

Wie Petya startet Goldeneye neu und tut so, als würde er eine Scheibe überprüfen:

Sobald die „Überprüfung“ beendet ist, klingt ein weiterer Reboot der Alarm mit einigen dramatischen ASCII-Kunst:


Der Schädel blinkt gelb und schwarz, um sicherzustellen, dass Sie es nicht verpassen können; Wenn Sie eine Taste drücken, sehen Sie eine Notiz, die fast identisch mit dem oben genannten ist YOUR_FILES_ARE ENCRYPTED.TEXT:

Falls Sie sich fragen, dass wir die so genannten persönlichen Entschlüsselungscodes in den obigen Bildern redigiert haben, ist die Verschlüsselung für Ihre Dateien und für Ihre MFT anders: Die Malware verwendet jedes Mal verschiedene Algorithmen und verschiedene Schlüssel.

Kurz gesagt, wenn Sie zahlen bis zu entsperren Sie Ihre scrambled MFT so können Sie einen Neustart in Windows, dann, vorausgesetzt, die Gauner tatsächlich senden Sie den Schlüssel …

… erhalten Sie wieder in Windows, um die YOUR_FILES_ARE_ENCRYPTED.TXT Pay-Seite auch.

Wenn Sie keine Sicherung haben, erhalten Sie zu bezahlen immer wieder.

Hinweis. Sophos-Produkte blockieren diese Malware wie folgt: Troj / DocDrop-PX, -QA und -QC (booby-trapped XLS-Dateien); Troj / Petya-AD, -AF und -AG (heruntergeladene Goldeneye-Dateien).

Was ist zu tun?

Als wir checkten, verlangten die Gauner ein ziemlich steiles Lösegeld in der Nähe von 1,4 Bitcoins ($ 1000) auf jeder Pay-Seite, so dass ein Double-Whammy-Goldeneye-Angriff Sie 2000 $ kosten konnte, und das ist, wenn die Gauner durch die Entschlüsselungsschlüssel kommen: