Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan szantażysta GpCode powraca

Witalij Kamliuk
Kaspersky Lab Expert
Dodany 30 listopada 2010, 10:30 CET
Tagi:

Otrzymaliśmy kilka zgłoszeń od ludzi z całego świata proszących o pomoc w związku z infekcją bardzo podobną do trojana GpCode, którego wykryliśmy w 2008 roku.

GpCode został po raz pierwszy wykryty w 2004 roku, następnie, aż do 2008 r. pojawiał się prawie co roku. Od tego czasu jego autor ucichł. Kilku naśladowców stworzyło imitacje GpCode’a, jednak w większości były to zwykłe strachy na lachy, a nie rzeczywiste zagrożenia, ponieważ nie wykorzystywały mocnych algorytmów szyfrowania.

Jak już wspominaliśmy wcześniej, ten typ szkodliwego oprogramowania jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są niewielkie. W praktyce oznacza to niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi.

GpCode powrócił, silniejszy niż wcześniej. W przeciwieństwie do wcześniejszych wariantów nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, takiego jak PhotoRec, które zaproponowaliśmy podczas ostatniego ataku.

Wstępna analiza wykazała, że jako algorytmów szyfrowania użyto RSA-1024 i AES-256. Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu.

Szkodnik jest wykrywany przez Kaspersky Lab jako Trojan-Ransom.Win32.GpCode.ax. Nasi eksperci dogłębnie analizują tę najnowszą wersję GpCode’a. Jak tylko odkryją coś, co może pomóc w odzyskaniu danych, natychmiast poinformują o tym.

Jeżeli podejrzewasz, że twój komputer jest zainfekowany, nie zmieniaj nic w systemie, ponieważ, jeśli znajdziemy rozwiązanie, może to uniemożliwić odzyskanie twoich danych. Bezpieczniej jest wyłączyć komputer lub ponownie go uruchomić, mimo że twórca tego szkodnika twierdzi, że za N dni pliki zostaną skasowane – jak dotąd nie trafiliśmy na żaden dowód istnienia mechanizmu usuwania plików po określonym czasie. Mimo to lepiej wstrzymać się z wszelkimi zmianami w systemie plików, które mogą być na przykład spowodowane restartem komputera.

Wciśnięcie przycisku Reset/Power może uratować wiele twoich cennych danych! Pamiętaj o tym i powiedz swoim znajomym, że jeśli nagle wyskoczy im następujący tekst w notepadzie:

Powinni bez wahania wyłączyć swój komputer PC, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej!

Kolejną oznaką infekcji jest nagła zmiana pulpit na coś takiego:

Jak tylko pojawią się kolejne rewelacje, natychmiast opublikujemy odpowiednie informacje i zrzuty ekranu.