Virus.Win32.Gpcode.ac

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер в упакованном виде — примерно 61 КБ, размер в распакованном виде — примерно 134 КБ.

Вредоносная программа была широко распространена по российскому сегменту интернета при помощи спам-рассылки.

После запуска вирус шифрует все найденные на диске зараженного компьютера файлы со следующими расширениями:

arh
arj
c
cdr
cgi
chm
cnt
cpp
css
csv
db
db1
db2
dbf
dbt
dbx
doc
flb
frm
frt
frx
gtd
gz
gzip
h
htm
html
key
kwm
lst
man
mdb
mmf
mo
old
p12
pak
pdf
pem
pfx
pgp
pl
prf
prx
pst
pwa
pwl
pwm
rar
rmr
rnd
rtf
safe
sar
sig
tar
tbb
txt
xls
xml
zip

Для шифрования частично используется алгоритм RSA.

Зашифрованные пользовательские файлы невозможно использовать в дальнейшем, что дает возможность злоумышленникам вымогать у пострадавших денежные средства.

В папках с зашифрованными файлами появляются файлы readme.txt примерно следующего содержания:

Some files are coded by RSA method.
To buy decoder mail: *****sh34@rambler.ru
with subject:  RSA 5 ********728578411

Версия шифровальщика и адрес email могут различаться в различных модификациях данного вируса.

При обращении по указанному адресу пострадавшим предлагается заплатить определенную сумму за расшифровку необходимых им файлов.

Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными неизвестными почтовыми сообщениями и неизвестными файлами.

Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом для создания новых версий вредоносной программы.