GpCode atakuje po kilku miesiącach przerwy

Mateusz PonikowskiSkomentuj
GpCode atakuje po kilku miesiącach przerwy
Wirus GpCode jest obecny w Internecie od 2004 roku. Nowe wersje tego szkodnika pojawiały się regularnie, aż do 2008 roku, kiedy to autor GpCode’a zamilkł. Cisza trwała aż do listopada 2010 r. Następnie cyberprzestępca zrobił sobie kilka miesięcy przerwy, aby znów przypomnieć o sobie w marcu 2011 r.



Najnowsza wersja GpCode’a infekuje komputery podczas otwierania zainfekowanej strony WWW. Po uruchomieniu swojego kodu wirus generuje 256-bitowy klucz AES (przy użyciu mechanizmu wbudowanego w system Windows) i szyfruje go przy użyciu publicznego 1024-bitowego klucza RSA. Następnie zaszyfrowany klucz zostaje umieszczony na pulpicie zainfekowanego komputera, wewnątrz pliku tekstowego zawierającego treść szantażu. Informacje, na podstawie których dokonywany jest wybór plików do zaszyfrowania, znajdują się wewnątrz zaszyfrowanego pliku konfiguracyjnego. To oznacza, że GPCode może zostać łatwo uaktualniony przez cyberprzestępcę.

W przeciwieństwie do próbki z listopada zeszłego roku, zamiast przelewu szantażysta żąda zapłaty za pośrednictwem kart pre-paid. Wzrosła również kwota, jakiej cyberprzestępca żąda od swoich ofiar – ze 120 do 125 dolarów.



Jak rozpoznać infekcję? Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z komunikatem w języku angielskim. Można powiedzieć, że jest to pewnego rodzaju szantaż. Jeżeli komunikat pojawi się należy jak najszybciej wyłączyć komputer. W tym momencie istnieje jeszcze szansa na uratowanie danych.


Plik tekstowy z treścią szantażu, wyświetlany przez wirusa GpCode

Kolejną oznaką infekcji jest nagła zmiana pulpitu na poniższy:


Tapeta pulpitu ustawiana na zainfekowanym komputerze przez wirusa GpCode

Po zauważeniu symptomów infekcji należy jak najszybciej wyłączyć komputer – najlepiej użyć przycisku „Power” lub po prostu wyciągnąć wtyczkę z kontaktu. Im szybciej komputer zostanie wyłączony, tym mniej danych wirus zdoła zaszyfrować. Mimo że twórca GpCode’a twierdzi, że zaszyfrowane pliki zostaną usunięte po kilku dniach, dotychczasowa analiza przeprowadzona przez ekspertów z Kaspersky Lab nie wykazała istnienia mechanizmu niszczenia danych po określonym czasie. Dane można spróbować odzyskać podłączając dysk twardy do innego komputera, na którym zainstalowany jest uaktualniony program antywirusowy.


Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed najnowszą wersją GpCode’a. Szkodnik ten jest wykrywany jako Trojan-Ransom.Win32.GpCode.bn.

Źródło: Kaspersky Lab

Obserwuj nas w Google News

Mateusz PonikowskiWspółzałożyciel serwisu instalki.pl od ponad 18 lat aktywny w branży mediów technologicznych.