Virus.Win32.Gpcode.ad

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере.

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер в упакованном виде — 61440 байт, размер в распакованном виде — примерно 135 КБ.

После запуска вирус шифрует все найденные на диске зараженного компьютера файлы со следующими расширениями:

3ds
3dx
acd
ace
ai
arc
arh
arj
c
cdr
cgi
chm
cnt
cpp
css
csv
db
db1
db2
dbf
dbt
dbx
dic
doc
dsc
dwg
dxf
eps
fax
fla
flb
frm
frt
frx
gtd
gz
gzip
h
ha
htm
html
jar
key
kwm
lst
lzh
ma
man
mar
mdb
mmf
mo
old
p12
pak
pdf
pem
pfx
pgp
pl
ppt
prf
prx
ps
pst
pwa
pwl
pwm
rar
rle
rmr
rnd
rtf
safe
sar
sig
sln
swf
tar
tbb
tex
tga
txt
xcr
xls
xml
zip
zoo

Для шифрования частично используется алгоритм RSA 67-bit.

Зашифрованные пользовательские файлы невозможно использовать в дальнейшем, что дает возможность злоумышленникам вымогать у пострадавших денежные средства.

В папках с зашифрованными файлами вирус создает файлы с именем readme.txt следующего содержания:

Some files are coded by RSA method.
To buy decoder mail: w*****44@mail.ru
with subject: RSA 5 ********507363108091

Адрес email может меняться в различных модификациях данного вируса.

При обращении по указанному адресу пострадавшим предлагается заплатить определенную сумму за расшифровку необходимых им файлов.

Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными неизвестными почтовыми сообщениями и неизвестными файлами.

Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом для создания новых версий вредоносной программы.

После процедуры шифрования вирус создает файл TMP.BAT, который содержит код, удаляющий исходный файл вредоносной программы.