Virus.Win32.Gpcode.ac

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер в упакованном виде — примерно 61 КБ, размер в распакованном виде — примерно 134 КБ.

Вредоносная программа была широко распространена по российскому сегменту интернета при помощи спам-рассылки.

После запуска вирус шифрует все найденные на диске зараженного компьютера файлы со следующими расширениями:

  arh
  arj
  c
  cdr
  cgi
  chm
  cnt
  cpp
  css
  csv
  db
  db1
  db2
  dbf
  dbt
  dbx
  doc
  flb
  frm
  frt
  frx
  gtd
  gz
  gzip
  h
  htm
  html
  key
  kwm
  lst
  man
  mdb
  mmf
  mo
  old
  p12
  pak
  pdf
  pem
  pfx
  pgp
  pl
  prf
  prx
  pst
  pwa
  pwl
  pwm
  rar
  rmr
  rnd
  rtf
  safe
  sar
  sig
  tar
  tbb
  txt
  xls
  xml
  zip
  

Для шифрования частично используется алгоритм RSA.

Зашифрованные пользовательские файлы невозможно использовать в дальнейшем, что дает возможность злоумышленникам вымогать у пострадавших денежные средства.

В папках с зашифрованными файлами появляются файлы readme.txt примерно следующего содержания:

  Some files are coded by RSA method.
  To buy decoder mail: *****sh34@rambler.ru
  with subject:  RSA 5 ********728578411
  

Версия шифровальщика и адрес email могут различаться в различных модификациях данного вируса.

При обращении по указанному адресу пострадавшим предлагается заплатить определенную сумму за расшифровку необходимых им файлов.

Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными неизвестными почтовыми сообщениями и неизвестными файлами.

Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом для создания новых версий вредоносной программы.