Программы-вымогатели: GPCode наносит ответный удар

image

Теги: Лаборатория Касперского, вымогатель, вредоносное ПО

«Лаборатория Касперского» обнаружила новый вариант программы-вымогателя Gpcode в виде обфусцированного выполняемого файла.

«Лаборатория Касперского» обнаружила новый вариант программы-вымогателя Gpcode в виде обфусцированного выполняемого файла. После выполнения новая версия GPCode генерирует 256-битовый ключ для алгоритма шифрования AES, используя Windows Crypto API, и шифрует его с помощью публичного RSA 1024 ключа киберпреступника. Зашифрованный результат будет сброшен на рабочий стол зараженного компьютера внутри текстового файла с требованием выкупа. Напомним, что первый вариант GPCode был обнаружен в ноябре 2010 года.

Важно заметить, что в отличие от образца ноября прошлого года, программа требует отправить выкуп платежом при помощи предоплаченных карт Ukash. "24 марта мы обнаружили ransomware-программу, которая маскировалась под сообщение от полиции ФРГ — этот вымогатель также требовал провести платеж картой Ukash. Похоже, киберпреступники уходят от старых добрых денежных переводов, предпочитая платежи предоплаченными картами. Сумма выкупа с ноября увеличилась с 120 до 125 долларов", - говорит антивирусный аналитик «Лаборатории Касперского» Николас Брулес.

В то же время меняется фон рабочего стола — он сообщает пользователю, что компьютер заражен и нужно заплатить выкуп.

Жесткие диски компьютера сканируются в поисках файлов для шифрования. Решение о том, какие файлы зашифровать, а какие оставить, принимается по их расширению — в зашифрованном конфигурационном файле указаны все расширения файлов, которые должны быть зашифрованы. Это означает, что конфигурационный файл GPCode можно легко обновить. Этот файл включает текст сообщения с требованием выкупа, а также публичный 1024-битовый RSA-код от преступников.

Образец, обнаруженный в ноябре 2010, был упакован при помощи UPX. В сегодняшнем образце также используется UPX, но не самостоятельно. Фактически киберпреступники используют собственную защиту файла , чтобы усложнить его анализ и обратный инжиниринг. Вот как выглядит точка входа в запакованном виде:

Для защиты данной программы-вымогателя используется обфускация и стандартные приемы, встречающиеся в современных вредоносных упаковщиках. После распаковки образец оказывается весьма похожим на ноябрьский. В ресурсную секцию файла внедрен зашифрованный файл конфигурации.

"Если вы подозреваете, что заразились, мы рекомендуем ничего не менять в системе — это может помешать восстановить данные в случае, если мы найдем решение. Безопасно выключение или перезапуск компьютера. Заявления автора вредоносной программы о том, что файлы удаляются после N дней, можно игнорировать — мы не видели каких-либо свидетельств того, что существует временной механизм удаления файлов. Тем не менее, лучше всего воздержаться от любых изменений в файловой системе, включая те, что могут быть вызваны перезапуском компьютера", - говорит Брулес.

"Пользователи должны знать о данной программе-вымогателе и быть готовы распознать его с первой же секунды, когда на экране отображается сообщение зловреда. Нажав кнопку перезапуска или выключения, вы можете сохранить значительную часть ваших данных. Не мешкая, выключите компьютер; выдерните шнур из розетки, если до него ближе", - говорит Брулес.

Зашифрованные файлы восстановить не получится — для шифрования используется мощный криптоалгоритм. Единственный способ восстановить файлы — это использовать резервные копии.


или введите имя

CAPTCHA
фыва
29-03-2011 22:53:30
имхо за такое убивать надо ну ладно ботнет пополнить машинкой, систему положить... порно баннер вывесить, использовать в своих корыстных целях это я понять могу...ибо без лоха и жизнь плоха но криптовать...имхо лишнее
0 |
Флишконрылкобарон
30-03-2011 02:57:16
Недолго этому крипто жить. Заразит компутер какогоньть крутого законника - тактика сменится довольно быстро.
0 |
Ононим
29-03-2011 22:53:51
Вы когда копипастите, голову включайте и чистите текст получше: Фактически киберпреступники используют собственную защиту файла , чтобы усложнить его анализ и обратный инжиниринг. Вот как выглядит точка входа в запакованном виде:
0 |
29-03-2011 23:01:27
и как же она выглядит, хочу посмотреть )))
0 |
фетиш-мастер [Малиновые штаны]
30-03-2011 09:43:15
цензура фотку не пропустила
0 |
VX
30-03-2011 09:45:57
нууу, с точки зрения математики, точка размеров не имеет, стало быть, не только никак не выглядит, но и процесс её упаковки пока трудновато представить
0 |
Guest
30-03-2011 16:23:18
. Примерно так.=)
0 |
V...
30-03-2011 15:02:57
:ideОбратноa: - Назад вернется с 256 шифрованием!
0 |