Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Virus.Win32.Gpcode.ak

Jest to szkodliwy program szyfrujący pliki zapisane na dyskach zainfekowanego komputera. Ma postać pliku PE EXE o rozmiarze 3 030 bajtów. Inne znane wersje wirusa: .ac, .ad, .ae, .af, .ag, .ai, .f.

Funkcje szkodnika

Po uruchomieniu wirus tworzy w pamięci komputera identyfikator w celu oznaczenia swojej obecności w systemie: _G_P_C_.

Następnie wirus rozpoczyna skanowanie wszystkich logicznych dysków w poszukiwaniu plików do zaszyfrowania. Szyfrowane są wszystkie pliki posiadające następujące rozszerzenia:

7z abk abd acad
arh arj ace arx
asm bz bz2 bak
bcb c cc cdb
cdw cdr cer cgi
chm cnt cpp css
csv db db1 db2
db3 db4 dba dbb
dbc dbd dbe dbf
dbt dbm dbo dbq
dbt dbx Djvu doc
dok dpr dwg dxf
ebd eml eni ert
fax flb frm frt
frx frg gtd gz
gzip gfa gfr gfd
h inc igs iges
jar jad Java jpg
jpeg Jfif jpe js
jsp hpp htm html
key kwm Ldif lst
lsp lzh lzw ldr
man mdb mht mmf
mns mnb mnu mo
msb msg mxl old
p12 pak pas pdf
pem pfx php php3
php4 pl prf pgp
prx pst pw pwa
pwl pwm pm3 pm4
pm5 pm6 rar rmr
rnd rtf Safe sar
sig sql tar tbb
tbk tdf tgz tbb
txt uue vb vcf
wab xls xml

Wirus wykorzystuje do szyfrowania moduł Microsoft Enhanced Cryptographic Provider v1.0 wbudowany w systemy Windows. pliki są szyfrowane przy użyciu algorytmu RC4. Z kolei klucz szyfrujący jest szyfrowany przy użyciu klucza publicznego RSA o długości 1024 bitów.

Algorytm RSA dzieli klucze szyfrujące na publiczne i prywatne. Do zaszyfrowania obiektu wymagany jest jedynie klucz publiczny. Jednak aby odszyfrować taki obiekt musimy posiadać klucz prywatny.

Wirus tworzy zaszyfrowaną kopię każdego oryginalnego pliku. Kopia ta zachowuje oryginalną nazwę, do której dodawany jest dopisek _CRYPT. Na przykład:

  • WaterLilles.jpg - oryginalny plik
  • WaterLilles.jpg._CRYPT - zaszyfrowany plik

Następnie oryginalny plik jest usuwany.

Wirus umieszcza w każdym folderze zawierającym zaszyfrowane obiekty plik !_READ_ME_!.txt. Plik ten zawiera następujący tekst:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor. 
To buy decrypting tool contact us at: [censored]@yahoo.com

Tłumaczenie:

Twój plik został zaszyfrowany przy użyciu 1024-bitowego algorytmu RSA.
W celu odzyskania swoich plików musisz kupić nasz program deszyfrujący.
W celu dokonania zakupu skontaktuj się z nami pod adresem: *******@yahoo.com

Pliki znajdujące się w folderze Program Files nie są szyfrowane. Dodatkowo wirus nie szyfruje plików, które:

  • posiadają atrybuty "systemowy" oraz "ukryty"
  • są mniejsze niż 10 bajtów
  • są większe niż 734 003 200 bajtów

Po wykonaniu swoich głównych funkcji wirus tworzy plik VBS, który usuwa jego kod z zainfekowanego komputera i wyświetla komunikat:

Wirus nie tworzy żadnych kluczy w rejestrze systemowym.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli uważasz, że Twój komputer został zainfekowany, skontaktuj się z nami pod adresem e-mail pomoc@kaspersky.pl podając w treści wiadomości następujące informacje:

  • Data i czas wystąpienia infekcji
  • Opis wszystkich działań wykonywanych na komputerze przez okres około 5 minut przed wystąpieniem infekcji, łącznie z:
    • uruchamianymi programami
    • odwiedzanymi stronami WWW

Odzyskiwanie zaszyfrowanych plików

W chwili obecnej nie jest możliwe odszyfrowanie plików zaszyfrowanych przez Gpcode'a. Jednak, można skorzystać z darmowego narzędzia PhotoRec w celu odzyskania oryginalnych plików, które zostały usunięte przez wirusa po tym, jak utworzył ich zaszyfrowane wersje.

Narzędzie pozwala na odzyskanie dokumentów pakietu Microsoft Office, plików wykonywalnych, dokumentów PDF oraz TXT a także niektórych archiwów. Tutaj można znaleźć pełną listę obsługiwanych formatów.

PhotoRec jest częścią pakietu TestDisk. Najnowszą wersję tego pakietu, wraz z narzędziem PhotoRec, można znaleźć tutaj.

Poniżej znajdują się szczegółowe instrukcje pozwalające na ręczne odzyskanie plików przy użyciu narzędzia PhotoRec:

  1. Użyj innego komputera (niezainfekowanego) do pobrania pakietu TestDisk zawierającego narzędzie PhotoRec.
  2. Zapisz narzędzie PhotoRec na zewnętrzny dysk (np. pendrive) i podłącz go do zainfekowanego komputera - nie ma żadnego ryzyka, ponieważ Gpcode.ak nie moze się rozprzestrzeniać, a do tego usuwa swój kod po uruchomieniu.
  3. Uruchom narzędzie PhotoRec (plik wykonywalny posiada nazwę photorec_win.exe i znajduje się w katalogu win pakietu TestDisk):
  4. Wybierz napęd, na którym PhotoRec ma szukać plików i wciśnij ENTER:

    Jeżeli w Twoim komputerze znajduje się kilka dysków twardych, wykonaj ten krok dla każdego z nich.

  5. Wybierz typ tablicy partycji (standardowo 'Intel') i wciśnij ENTER.
  6. W tym kroku musisz wykonać dwie czynności: wybrać "Expert Mode" i wskazać partycję, z której PhotoRec ma odzyskać pliki.

    Na początku kliknij w menu polecenie [Options] (wskazane na poniższym obrazu przez czerwoną strzałkę):

    Po wybraniu [Options] wciśnij ENTER, aby zobaczyć parametry. Zaznacz "Expert Mode" i użyj klawiszy kursora, aby zaznaczyć "Yes".

    Teraz wróć do poprzedniego menu wybierając "Quit". Przejdź z [Options] do [Search]. Wybierz partycję, z której chcesz odzyskać pliki i wciśnij ENTER.

    Jeżeli w Twoim komputerze znajduje się kilka dysków twardych, wykonaj ten krok dla każdego z nich.

  7. Wybierz typ systemu plików (użytkownicy Windows powinni skorzystać z opcji 'Other') i wciśnij ENTER.

  8. Wybierz lokalizację, w której narzędzie ma szukać plików i wciśnij ENTER. Aby przeszukać cały dysk, wybierz "Whole".

  9. PhotoRec poprosi Cię o określenie foldera docelowego, w którym zostaną zapisane odzyskane pliki. Użyj przeglądarki plików wbudowanej w narzędzie PhotoRec, aby przejść do katalogu głównego (wybierz ".." i wciśnij ENTER).

    W katalogu głównym wyświetlane są wszystkie dyski podłączone do systemu. Wybierz dysk wymienny (lub sieciowy) oraz folder, w którym chcesz zapisać odzyskane pliki. Bardzo ważne jest, abyś wybrał dysk zewnętrzny (pod żadnym pozorem nie wybieraj dysku zainfekowanego komputera - może to doprowadzić do zniszczenia plików usuniętych przez Gpcode'a).

    Przed rozpoczęciem odzyskiwania plików upewnij się, że utworzyłeś na docelowym dysku odpowiedni folder (na przykład, "Odzyskane") i wybrałeś ten folder jako lokalizację, w której PhotoRec będzie zapisywał odzyskane pliki. Aby kontynuować wciśnij "Y".

    Jeżeli zgodnie z zaleceniami znajdującymi się w kroku 6 wybrałeś "Expert Mode", PhotoRec zapyta o rozmiar bloku wykorzystywanego do zapisywania danych na Twoim dysku. Podanie prawidłowego parametru uchroni Cię przed odzyskiwaniem "śmieci". W systemach Windows domyślny rozmiar bloku to 512. Warto jednak sprawdzić wartość tego parametru w informacjach o systemie operacyjnym.

    Uruchom msinfo32 (START| URUCHOM| MSINFO32). Msinfo32 zgromadzi informacje o systemie operacyjnym i wyświetli je na ekranie (gromadzenie tych danych może chwilę potrwać). Aby sprawdzić rozmiar bloku, otwórz Podsumowanie systemu| Składniki| Magazyn| Dyski. Wartość poszukiwanego parametru wyświetli się w prawej części okna w sekcji "Bajtów/sektor".

    Wróć do okna narzędzia PhotoRec i wybierz taką samą wartość na liście. Po wciśnięciu "Y" proces przywracania zostanie uruchomiony. Pamiętaj - odzyskiwanie danych może trwać bardzo długo.

    Przed przejściem do następnego kroku poczekaj na zakończenie skanowania.

  10. Odzyskane pliki znajdują się teraz wybranym wcześniej zewnętrznym dysku. Po otwarciu foldera zawierającego odzyskane pliki zauważysz, że nazwy nie są takie same, jak na Twoim dysku twardym przed atakiem Gpcode'a.

    Nazwy plików mogą wyglądać następująco:

    Jest to związane z trybem pracy narzędzia PhotoRec i nie musisz się niczego obawiać. Ponadto PhotoRec nie potrafi określić oryginalnej lokalizacji odzyskanych plików.

Aby umożliwić łatwe zakończenie procesu odzyskiwania plików, stworzyliśmy darmowe narzędzie o nazwie StopGpcode, które posortuje i przemianuje pliki odzyskane przez narzędzie PhotoRec.

  • Użyj niezainfekowanego komputera do pobrania narzędzia StopGpcode i skopiuj na pendrive'a lub inną pamięć przenośną.
  • Podłącz pendrive'a do zainfekowanego komputera i otwórz Wiersz polecenia systemu Windows wybierając: START | PROGRAMY | AKCESORIA.
  • Przejdź do pendrive'a wpisując jego literę z dwukropkiem - na przykład, W:
  • Uruchom narzędzie wpisując:
    "STOPGPCODE -r <folder z odzyskanymi plikami> -i <zainfekowany dysk> -o <folder docelowy>
    Przykład: STOPGPCODE -r W:\ ODZYSKANE -i С:\ -o W:\POSORTOWANE"

Narzędzie przeanalizuje cały dysk w celu porównania rozmiarów zaszyfrowanych i odzyskanych plików. Rozmiary te zostaną użyte w celu określenia oryginalnej lokalizacji oraz nazw odzyskanych plików.

Narzędzie podejmie próbę określenia poprawnej nazwy i oryginalnej lokalizacji dla każdego z plików i zapisze je w folderze o nazwie "sorted". Jeżeli dla danego pliku okaże się to niemożliwe, narzędzie zapisze go do foldera o nazwie "conflicted".

Narzędzie StopGpcode możesz pobrać tutaj.

Deszyfrowanie plików przy użyciu narzędzia StopGpcode2

Niektóre pliki zaszyfrowane przez Gpcode.ak mogą zostać odszyfrowane bez użycia prywatnego klucza RSA. Jest to możliwe w przypadku plików, dla których istnieją wersje niezaszyfrowane.

W celu odszyfrowania wykonaj następujące czynności:

  1. Odszukaj na zainfekowanym komputerze wszystkie zaszyfrowane pliki posiadające rozszerzenie ._CRYPT i skopiuj je na napęd zewnętrzny (na przykład, na pendrive'a) do foldera o nazwie "encrypted".

  2. Postępuj zgodnie z instrukcjami z powyższej sekcji Odzyskiwanie zaszyfrowanych plików i zapisz odzyskane pliki z poprawnie przywróconymi nazwami na napędzie zewnętrznym, w folderze o nazwie "backup".

  3. Dopasuj niezaszyfrowane kopie plików z ich zaszyfrowanymi wersjami znajdującymi się w folderze "encrypted". Niezaszyfrowane wersje plików możesz znaleźć, na przykład, w swojej kopii zapasowej. Jeżeli straciłeś zdjęcia, ich kopie mogą ciągle znajdować się na karcie pamięci w aparacie fotograficznym. Istnieje także prawdopodobieństwo, że posiadasz kopie swoich dokumentów i innych plików na różnych napędach sieciowych lub w wiadomościach e-mail. Po odnalezieniu takich plików skopiuj je do foldera o nazwie "backup".

    Ważne! Pliki, które zapisujesz do foldera "backup" MUSZĄ mieć takie same nazwy, jak ich zaszyfrowane odpowiedniki znajdujące się w folderze "encrypted"; identyczne musi być wszystko poza rozszerzeniem ._CRYPT.
  4. Utwórz folder o nazwie "decrypted" - to w nim zostaną zapisane odszyfrowane pliki. Pobierz darmowe narzędzie Stopgpcode2 ze strony Kaspersky Lab. Służy ono do deszyfrowania plików.

  5. Uruchom narzędzie StopGpcode2 z wiersza poleceń (Start > Uruchom > cmd.exe ) – upewnij się, że podajesz pełne ścieżki dostępu do folderów "encrypted", "backup", oraz "decrypted". Na przykład, jeżeli narzędzie i foldery znajdują się w katalogu głównym napędu E:, musisz wprowadzić następujące polecenie:

    e:\stopgpcode2.exe e:\encrypted e:\backup e:\decrypted

    Po uruchomieniu narzędzie rozpocznie proces deszyfrowania Twoich plików.

  6. Po zakończeniu działania narzędzia na ekranie pojawi się komunikat "Done". Teraz możesz otworzyć folder "decrypted" i sprawdzić, które pliki zostały poprawnie odszyfrowane.

Ważne! Narzędzie może nie odszyfrować wszystkich plików. W takim przypadku na ekranie pojawi się komunikat "partly recovered".
Ponadto narzędzie nie jest przeznaczone do pracy na maszynach wirtualnych. Rezultaty jego działania w takim środowisku mogą się znacznie różnić od wyników osiąganych na fizycznym komputerze.