Abbiamo già parlato del temibile ransomware Petya, il quale blocca l’accesso al disco rigido criptando il Master Boot Record (MBR), e ne torniamo a parlare oggi visto che è tornato in una nuova veste e reso ancora più temibile dal proprio creatore, un certo Janus, che ha accoppiato (ancora a maggio per la verità) il ransomware Petya con Misha, il quale è un classico ransomware che cripta i dati dell’hard disk, questo perché criptare l’MBR richiede privilegi elevati, quindi in caso di operazione fallita interviene Misha che cripta il contenuto del disco rigido.
La nuova variante si chiama Goldeneye e si propaga principalmente tramite campagna SPAM, per ora sembra rivolta principalmente agli utenti tedeschi, ove troviamo un file XLS che contiene una macro, all’apertura di questo file uno script VBA viene lanciato silenziosamente, il quale comincia con l’operazione di cripta-tura dei dati. Dopo l’operazione, se non è andata a buon fine la criptazione del boot record da parte di Petya, il ransom prova ad installare un Bootkit sostituendo l’MBR con uno modificato, forzando così nuovamente l’operazione precedentemente fallita.
Ricordiamo che per la sola infezione di Petya esiste uno strumento di decriptazione e recupero dei propri file, disponibile partendo da qui