Новая версия Gpcode

[Добрый Заазыч]

29.11.2010 16:37, GMT +0300, Москва

статус: высокая опасность

 

«Лаборатория Касперского» предупреждает о появлении в интернете новой версии вредоносной программы-шифровальщика Gpcode.

 

Программа распространяется через вредоносные веб-сайты и посредством P2P-сетей.

 

В данный момент антивирусные продукты «Лаборатории Касперского» детектируют программу под названием Trojan-Ransom.Win32.Rsaist.c.

 

Более подробная информация будет доступна в нашем блоге в ближайшее время.

http://www.securelist.com/ru/alerts?alertid=203698717

 

4 уровень опасности!

Включайте Антивирусы кто ещё не включил, и обновляйте базы... и не лазыйте по левым неизвестным сайтам

 

Изменено 29 ноября, 2010 пользователем Добрый Заазыч

[woozle]

Версии ОС Windows x64 не подвержены заражению вредоносными программами семейства Trojan-Ransom.Win32.Digitala.

 

это к данной эпидемии не относиться?

[Lacoste]

Денис-НН

 

Да.

[ShRaM]

Спасибо, у меня торренты все время пашут , а как этот вирус попадает ? его сам скачиваешь или он проникает ?

[-=Kirill Strelets=-]

Тут уже изменили уровень опасности с 4 на 2: низкая опасность .

[Misterio]

Правила вродь создал, но в поле *\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options\* названия ресурса нету, а на скрине инструкции что то есть. Так и оставить?

[Денис-НН]

Название может быть любым.

[Pomka.]

а чего фонарь на сайте зеленый?

Изменено 30 ноября, 2010 пользователем Pomka.

[Nikolay Lazarenko]

Виталий Камлюк

Эксперт «Лаборатории Касперского» 30 ноября 2010г. в 16:19 публикует блог на securelist под названием "GpCode вернулся"

 

Мы получили несколько сообщений, в которых пользователи из разных стран просят нас помочь им справиться с заражениями вредоносной программой, которая очень похожа на троянца-шифровальщика GpCode образца 2008 года.

 

Как мы рассказывали ранее, этот тип вредоносного ПО очень опасен, потому что шансы восстановить ваши данные невелики. Это почти то же самое, что безвозвратное удаление информации с жесткого диска.

 

Впервые GpCode был зарегистрирован в 2004 году. Затем он периодически появлялся вплоть до 2008 года. Были и подражатели, которые создали несколько имитаций GpCode, не представлявшие действительной угрозы, поскольку в них не использовались сильные криптографические логарифмы.

 

И в 2006, и в 2008 годах нам удавалось предложить несколько способов лечения и даже расшифровки данных с помощью наших инструментов дешифрования.

 

Сегодня GpCode вернулся — и он более сильный, чем раньше. Предварительный анализ показал, что для шифрования используются алгоритмы RSA-1024 и AES-256. Зловред зашифровывает только часть файла, начиная с первого байта. В отличие от предыдущих вариантов, новая версия GpCode не удаляет файлы после шифрования. Вместо этого троянец записывает информацию поверх файлов, что делает невозможным использование ПО для восстановления данных — такого, как утилита PhotoRec, которую мы предлагали во время предыдущего пришествия шифровальщика.

 

Новая вредоносная программа добавлена в антивирусные базы ЛК и детектируется как Trojan-Ransom.Win32.GpCode.ax. Эксперты «Лаборатории Касперского» внимательно изучают нынешнюю версию троянца и будут информировать вас о любом полученном результате, который может помочь в восстановлении данных.

 

Если вы считаете, что ваш компьютер заражен, мы рекомендуем ничего не менять в системе. Это может помочь нам восстановить ваши данные, если мы найдем соответствующее решение. Стоит просто выключить компьютер или перезапустить его, игнорируя сообщения вирусописателя о том, что файлы будут удалены через N дней – мы не обнаружили никаких свидетельств, подтверждающих наличие в троянце механизма удаления файлов с временным критерием. Тем не менее, лучше не производить в файловой системе никаких изменений, которые могут быть вызваны, например, перезапуском компьютера.

 

Люди, которые еще не сталкивались с этой проблемой, должны знать о ее существовании и распознать GpCode с первой секунды появления на экране предупреждающих сообщений. Кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных. Пожалуйста, запомните это и сообщите своим друзьям.

 

Если на экране неожиданно появится всплывающее окно Блокнота с таким текстом:

или вид рабочего стола мгновенно изменится на что-то вроде этого:

Внимание!

Все ваши персональные файлы были зашифрованы с помощью сильного алгоритма RSA-1024, и вы не сможете получить к ним доступ, не выполнив наши требования!

 

Для получения инструкции по расшифровке прочтите txt-файл «Как расшифровать» на рабочем столе.

 

Сделайте это как можно скорее!

 

Помните: если вы хотите получить назад свои файлы не пытайтесь рассказывать кому-либо об этом сообщении! Просто делайте то, что мы вам говорим!

 

немедленно выключайте компьютер или выдерните шнур из розетки, если это самый быстрый способ его выключить!

 

 

http://www.securelist.com/ru/blog/40195/GpCode_vernulsya

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[Самогонщик]

Еще одна очередная страшилка.

"Не ходите дети в лес там серый волк живет"

сколько еще нас пугать будут ужасным интернетом где все кишет разными тролями и лешами

[woozle]

Название может быть любым.

 

а если я сам прописал название как на скрине с инструкции?

нормально ?

[Денис-НН]

Ради бога, прописывайте любое название. Это просто название!

 

А причём тут Gpсode?

[Добрый Заазыч]

а щас вообще вот так на сайте ЛК

//а вот щас все норм...

Изменено 30 ноября, 2010 пользователем Добрый Заазыч

[пользователь]

криптографические логарифмы.

Может быть, криптографические алгоритмы?

Изменено 30 ноября, 2010 пользователем пользователь

[vit9696]

а щас вообще вот так на сайте ЛК

//а вот щас все норм...

Ага Врубайте торренты на здоровье ?!

[Nikolay Lazarenko]

А вот и нет

http://www.securelist.com/ru/

 

Не расслабляемся,парни