Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
 

Wyniki dla: "Gpcode"

Znaleziono 63 wyników


  1. Raport KSN: mobilne oprogramowanie ransomware w latach 2014-2016

    [Analizy] 

    Liczba użytkowników zaatakowanych przy użyciu oprogramowania ransomware jest ogromna. Ale jak ogromna? Wydaje się, że ransomware stanowi zagrożenie globalne. Być może jednak istnieją regiony wyższego ryzyka? Można wyróżnić wiele grup szkodliwego oprogramowania żądającego okupu. Ale które z nich są najbardziej rozpowszechnione i niebezpieczne?

  2. Raport oparty na danych systemu KSN: Oprogramowanie ransomware w okresie 2014-2016

    [Analizy] 

    Liczba użytkowników zaatakowanych przy użyciu oprogramowania ransomware jest ogromna. Ale jak ogromna? Wydaje się, że ransomware stanowi zagrożenie globalne. Być może jednak istnieją regiony wyższego ryzyka? Można wyróżnić wiele grup szkodliwego oprogramowania żądającego okupu. Ale które z nich są najbardziej rozpowszechnione i niebezpieczne?

  3. Raport oparty na danych systemu KSN: Oprogramowanie ransomware w okresie 2014-2016

    [Analizy] 

    Spis treści Podsumowanie i główne wyniki...

  4. Kaspersky Security Bulletin 2013. Prognozy

    [Analizy] 

    Przedstawiamy prognozę cyberzagrożeń na 2014 r.

  5. Cryptolocker chce twoich pieniędzy!

    [Weblog] 

    Być może czytaliście na temat szkodliwego oprogramowania o nazwie Cryptolocker - nowego trojana szantażysty, który szyfruje pliki użytkownika i żąda pieniędzy w zamian za ich odzyskanie przez użytkownika.

    W przeszłości pojawiały się podobne szkodliwe programy, np. niesławny trojan GPCode, który wykorzystywał klucze RSA w celu szyfrowania. W 2008 r. złamaliśmy 660-bitowy klucz wykorzystywany przez GPCode’a i zaoferowaliśmy ofiarom tego szkodnika metodę deszyfrowania i odzyskiwania swoich danych. Następnie autorzy GPCode’a uaktualnili klucz RSA - jego długość wynosiła już 1024 bity i mógł zostać złamany jedynie przez Agencję Bezpieczeństwa Narodowego.         

    Cryptolocker wykorzystuje również mocny system szyfrowania, który jak dotąd wydaje się niemożliwy do złamania. W przypadku każdej ofiary, łączy się ze swoim centrum kontroli (C2) w celu pobrania publicznego klucza RSA wykorzystywanego do szyfrowania danych. 

  6. Geografia cyberprzestępczości: Europa Zachodnia i Ameryka Północna

    [Analizy] 

    Przedstawiamy raport poświęcony geografii cyberprzestępstw

  7. Ataki DDoS w II kwartale 2011 r.

    [Analizy] 

    Przedstawiamy artykuł o atakach DDoS w II kwartale 2011 r.

  8. Ewolucja zagrożeń IT w I kwartale 2011 r.

    [Analizy] 

    Przedstawiamy raport dotyczący ewolucji zagrożeń w pierwszym kwartale 2011 r.

  9. Szantażysta GPCode znowu uderza

    [Weblog] 

    W listopadzie 2010 roku pisaliśmy o nowym wariancie wirusa szantażysty Gpcode.

    W piątek Kaspersky Lab wykrył kolejny nowy wariant mający postać zaciemnionego pliku wykonywalnego. Zagrożenie zostało zidentyfikowane automatycznie przy użyciu Kaspersky Security Network jako UDS:DangerousObject.Multi.Generic.

    Do naszych baz danych dodaliśmy już sygnaturę niegeneryczną tego zagrożenia, które jest teraz wykrywane jako Trojan-Ransom.Win32.Gpcode.bn.

    Do infekcji szkodnikiem dochodzi podczas odwiedzenia zainfekowanej strony internetowej (atak drive by download).

    Po uruchomieniu swojego kodu GPCode generuje 256-bitowy klucz AES (przy użyciu Windows Crypto API) i szyfruje go przy użyciu publicznego 1024-bitowego klucza RSA. Następnie zaszyfrowany klucz zostaje umieszczony na pulpicie zainfekowanego komputera, wewnątrz pliku tekstowego zawierającego treść szantażu:

    W przeciwieństwie do próbki z listopada zeszłego...

  10. Kaspersky Security Bulletin: Ewolucja szkodliwego oprogramowania w 2010 roku

    [Analizy] 

    Przedstawiamy roczny raport dotyczący zagrożeń, przedstawiający główne problemy, z jakimi borykają się zarówno użytkownicy korporacyjni jak i indywidualni

  11. A teraz program szantażujący nadpisujący MBR

    [Weblog] 

    Mój kolega Vitaly Kamluk pisał niedawno o nowym programie szantażującym GpCode, który szyfruje pliki użytkowników przy użyciu algorytmu RSA-1024 oraz AES-256.

    Jednak GpCode.ax to nie jedyny program szantażujący, jakiego możemy dzisiaj spotkać. Właśnie wykryliśmy szkodliwe oprogramowanie, które nadpisuje MBR i żąda okupu w zamian za otrzymanie hasła i przywrócenie oryginalnego MBR-a. Szkodnik ten jest wykrywany jako Trojan-Ransom.Win32.Seftad.a oraz Trojan-Ransom.Boot.Seftad.a.

    Ten program szantażujący jest pobierany przez trojana o nazwie Trojan.Win32.Oficla.cw.

    Gdy Seftad.a zostanie pobrany przez Oficla.cw i uruchomiony, następuje ponowne uruchomienie komputera PC ofiary, a na ekranie pojawia się następujący komunikat:

    Ofiara nie zna hasła do programu szantażującego. Dlatego po nieudanych próbach zainfekowana maszyna zostanie ponownie uruchomiona, a na ekranie wyświetli się taki sam komunikat:...

  12. Trojan szantażysta GpCode powraca

    [Weblog] 

    Otrzymaliśmy kilka zgłoszeń od ludzi z całego świata proszących o pomoc w związku z infekcją bardzo podobną do trojana GpCode, którego wykryliśmy w 2008 roku.

    GpCode został po raz pierwszy wykryty w 2004 roku, następnie, aż do 2008 r. pojawiał się prawie co roku. Od tego czasu jego autor ucichł. Kilku naśladowców stworzyło imitacje GpCode’a, jednak w większości były to zwykłe strachy na lachy, a nie rzeczywiste zagrożenia, ponieważ nie wykorzystywały mocnych algorytmów szyfrowania.

    Jak już wspominaliśmy wcześniej, ten typ szkodliwego oprogramowania jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są niewielkie. W praktyce oznacza to niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi.

    GpCode powrócił, silniejszy niż wcześniej. W przeciwieństwie do...

  13. Fałszywe antywirusy - ataki pod pozorem ochrony

    [Analizy] 

    W dzisiejszych czasach bardzo łatwo trafić na nieoryginalny produkt. Podrobić da się praktycznie wszystko...

  14. %^ef$g73$5r(@!! - Kilka słów o szyfrowaniu i algorytmach

    [Analizy] 

    Czym jest szyfrowanie? Definicji tego terminu jest wiele. Wystarczające jest jednak stwierdzenie, że szyfrowanie to po prostu metoda zapisu tekstu jawnego w taki sposób, by stał się on nieczytelny dla osób trzecich...

  15. Nowy Gpcode - groźby bez pokrycia

    [Weblog] 

    Najnowszy wariant wirusa Gpcode, o którym pisaliśmy wcześniej, stanowi o wiele mniejszym zagrożeniem niż jego poprzednicy. Twierdzenie autora o wykorzystaniu przez niego algorytmu AES-256 oraz ogromnej liczbie unikatowych kluczy to blef. Autor nie użył nawet publicznego klucza do szyfrowania, tak więc wszystkie informacje potrzebne do odszyfrowania plików znajdują się w ciele szkodliwego programu.

    Z naszej analizy wynika, że trojan wykorzystuje algorytm 3DES, jednak autor wykopał gotowy komponent Delphi, zamiast zadawać sobie trud stworzenia własnej procedury szyfrowania. Kod trojana jest dość nieporządny - a jego styl bardzo różni się od poprzednich wersji Gpcode'a - co świadczy o tym, że autor nie jest dobrym programistą.

    Ten nowy wariant wirusa nazwaliśmy Trojan-Ransom.Win32.Gpcode.am. Nasze antywirusowe bazy danych zawierają procedury przywracania zaszyfrowanych plików - tak więc jeśli padłeś ofiarą...

  16. Gpcode - kolejny powrót

    [Weblog] 

    Wczoraj usłyszeliśmy niepokojącą pogłoskę o nowej wersji Gpcode'a. Natychmiast zaczęliśmy rozmawiać z ofiarami i przeszukiwać Internet w celu znalezienia próbek.

    Gdy trochę poszperaliśmy, znaleźliśmy próbkę odpowiadającą opisom podanym przez ofiary. Obecnie program jest rozprzestrzeniany za pośrednictwem botnetu. [nazwa nie została podana ze względów bezpieczeństwa].

    Gpcode pozostawia plik tekstowy o nazwie crypted.txt, który zawiera żądanie zapłacenia 10 dolarów okupu. W pliku tym umieszczone są również dane kontaktowe autora: adres e-mail, numer ICQ i adres URL. Strona internetowa zawiera następujący tekst w języku rosyjskim (poniżej podajemy również tłumaczenie polskie):

    Добрый день. 
    Для вас 3 новости, не очень хорошая и две очень хороших и Начнем мы с неочень хорошей. 
    Неочень хорошая новость...

  17. Kolejny sposób przywrócenia plików po ataku Gpcode'a

    [Weblog] 

    W naszym poprzednim poście na temat Gpcode'a pisaliśmy, że udało nam się znaleźć sposób przywrócenia plików innych niż te, które mogą zostać odzyskane przy użyciu narzędzia PhotoRec.

    Okazuje się, że jeśli użytkownik posiada pliki zaszyfrowane przez Gpcode'a i niezaszyfrowane wersje tych plików, wtedy pary plików (zaszyfrowany i odpowiadającym mu niezaszyfrowany plik) mogą zostać wykorzystane do przywrócenia innych plików na zaatakowanej maszynie. Taką metodę wykorzystuje narzędzie StopGpcode2.

    Gdzie można znaleźć te niezaszyfrowane pliki? Można wykorzystać do tego narzędzie PhotoRec. Ponadto, pliki te można znaleźć w folderze kopii zapasowych lub na nośniku przenośnym (np. oryginalne pliki zdjęć skopiowane na dysk twardy komputera zaatakowanego przez Gpcode'a mogą nadal znajdować się na karcie pamięci aparatu). Niezaszyfrowane pliki mogły również zostać zapisane w jakimś zasobie...

  18. Najnowsze wiadomości o Gpcodzie

    [Weblog] 

    Nasz projekt "Zatrzymaj Gpcode'a" wzbudził spore zainteresowanie indywidualnych badaczy oraz organizacji pragnących zmierzyć się z łamigłówką, jaką stanowi wirus szantażysta. Dziękujemy za pomoc.

    Pytano nas między innymi o sposób rozprzestrzeniania się wirusa. Po przeanalizowaniu wielu zainfekowanych komputerów doszliśmy do wniosku, że wirus przedostaje się do komputerów z pomocą innego szkodliwego programu - bota z funkcjonalnością trojana downloadera. Maszyny zostały zainfekowane tym szkodnikiem na długo przed pojawieniem się na nich Gpcode'a; oprócz Gpcode'a bot pobierał szereg innych trojanów.

    Chociaż nie udało się złamać prywatnego klucza RSA, na jaw wyszło kilka interesujących rzeczy. Na przykład szczegółowa analiza algorytmu wykorzystywanego przez Gpcode'a pokazała, że autor tego wirusa popełnił błąd, który pozwala (w pewnych okolicznościach) odszyfrować...

  19. Przywracanie plików zaszyfrowanych przez Gpcode'a

    [Weblog] 

    Na razie nie jest możliwe odszyfrowanie plików zaszyfrowanych przez wirusa Gpcode.ak bez prywatnego klucza. Istnieje jednak sposób przywrócenia zaszyfrowanych plików do ich pierwotnego stanu.

    Podczas szyfrowania plików Gpcode.ak tworzy nowy plik obok pliku, który zamierza zaszyfrować. Do tego nowego pliku szantażysta zapisuje zaszyfrowane dane z oryginalnego pliku, który następnie usuwa.

    Usunięty plik można przywrócić, pod warunkiem że dane na dysku nie zostały poważnie zmodyfikowane. Dlatego właśnie od samego początku zalecaliśmy użytkownikom, aby nie restartowali swoich komputerów, ale skontaktowali się z nami. Użytkownikom, którzy skontaktowali się z nami, doradzaliśmy wykorzystanie różnych narzędzi w celu przywrócenia usuniętych z dysku plików. Niestety, prawie wszystkie dostępne narzędzie są na licencji shareware - my natomiast chcieliśmy zaoferować skuteczne, dostępne narzędzie, które...

  20. Nie bądź ofiarą

    [Weblog] 

    Pojawienie się nowego warianta Gpcode skłoniło mnie do przemyśleń na temat atakujących i ofiar w ogólności. Rozszyfrowanie klucza wykorzystanego przez nowy wariant wirusa szantażysty to bez wątpienia poważny problem bez gwarancji powodzenia. W tym momencie chciałbym przypomnieć wszystkim, że zdrowy rozsądek jest tak samo ważny jak zaawansowana technologia.

    Poprzez swoją bierność ofiary dają cyberprzestępcom wolną rękę. Jeżeli straciłeś swoje dane za sprawą Gpcode'a i desperacko chcesz je odzyskać... nawet jeśli ulegniesz szantażowi i bez zastanowienia zakupisz konto w systemie egold, nadal możesz pomóc powstrzymać osobę, która za tym stoi. Nie wysyłaj szantażystom kodu PIN. Wyślij kopię do działu pomocy technicznej systemu płatności elektronicznej, z którego korzystasz. Pomoże to organom ścigania wytropić przestępcę. Wyśledzenie przestępcy oznacza, że będzie można go przyłapać na...