Virus.Win32.Gpcode.ac

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер в упакованном виде — примерно 61 КБ, размер в распакованном виде — примерно 134 КБ.

Вредоносная программа была широко распространена по российскому сегменту интернета при помощи спам-рассылки.

После запуска вирус шифрует все найденные на диске зараженного компьютера файлы со следующими расширениями:

 arh
 arj
 c
 cdr
 cgi
 chm
 cnt
 cpp
 css
 csv
 db
 db1
 db2
 dbf
 dbt
 dbx
 doc
 flb
 frm
 frt
 frx
 gtd
 gz
 gzip
 h
 htm
 html
 key
 kwm
 lst
 man
 mdb
 mmf
 mo
 old
 p12
 pak
 pdf
 pem
 pfx
 pgp
 pl
 prf
 prx
 pst
 pwa
 pwl
 pwm
 rar
 rmr
 rnd
 rtf
 safe
 sar
 sig
 tar
 tbb
 txt
 xls
 xml
 zip
 

Для шифрования частично используется алгоритм RSA.

Зашифрованные пользовательские файлы невозможно использовать в дальнейшем, что дает возможность злоумышленникам вымогать у пострадавших денежные средства.

В папках с зашифрованными файлами появляются файлы readme.txt примерно следующего содержания:

 Some files are coded by RSA method.
 To buy decoder mail: *****sh34@rambler.ru
 with subject:  RSA 5 ********728578411
 

Версия шифровальщика и адрес email могут различаться в различных модификациях данного вируса.

При обращении по указанному адресу пострадавшим предлагается заплатить определенную сумму за расшифровку необходимых им файлов.

Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными неизвестными почтовыми сообщениями и неизвестными файлами.

Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом для создания новых версий вредоносной программы.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.