17 lipca 2007

Powrót szantażysty - Kaspersky Lab wykrywa nową wersję wirusa Gpcode

Kaspersky Lab, producent rozwiązań służących do ochrony danych, wykrył najnowszą wersję Gpcode'a - wirusa, który szyfruje dane użytkownika i domaga się pieniędzy w zamian za ich odszyfrowanie.

Virus.Win32.Gpcode.ai, który został wykryty w ubiegłym tygodniu, wykorzystuje złożony algorytm szyfrujący pliki i archiwa użytkownika, uniemożliwiając ich otwarcie. Na zaatakowanym komputerze umieszcza również plik o nazwie "read_me.txt" zawierający następujący tekst:

Hello, your files are encrypted with RSA-4096 algorithm 
(http://en.wikipedia.org/wiki/RSA). 

You will need at least few years to decrypt these files without our software. 
All your private information for last 3 months were collected and sent to us. 

To decrypt your files you need to buy our software. The price is $300. 

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide
 us your personal code -xxxxxxxxx. After successful purchase we will send your
 decrypting tool, and your private information will be deleted from our system. 

If you will not contact us until 07/15/2007 your private information will
 be shared and you will lost all your data. 

Glamorous team

Tłumaczenie komunikatu wirusa:

Witaj, twoje pliki zostały zaszyfrowane przy użyciu algorytmu RSA-4096 
(http://en.wikipedia.org/wiki/RSA). 

Bez naszego oprogramowania odszyfrowanie tych plików zajmie ci przynajmniej kilka lat. 
Od trzech miesięcy twoje poufne informacje były gromadzone i wysyłane do nas. 

Aby odszyfrować swoje dane, musisz kupić nasze oprogramowanie. Jego cena to $300.

W celu dokonania zakupu skontaktuj się z nami pod adresem xxxxxxx@xxxxx.com 
i załącz swój osobisty kod - xxxxxxxxx. Po dokonaniu zakupu, prześlemy ci narzędzie
deszyfrujące a twoje poufne informacje zostaną skasowane z naszego systemu. 

Jeżeli nie skontaktujesz się z nami do 15 lipca 2007 twoje poufne informacje 
zostaną udostępnione w Internecie. 

Glamorous team

Adres e-mail oraz osobisty kod zostały celowo zamazane.

W rzeczywistości, najnowsza wersja tego programu-szantażysty wykorzystuje algorytm szyfrujący RC4, a nie RSA-4096, jak twierdzi autor tekstu. Firmie Kaspersky Lab zawsze udawało się znaleźć klucz deszyfrujący pliki zaszyfrowane przez poprzednie Gpcode'y i nowa wersja nie jest wyjątkiem - procedury deszyfrujące są już gotowe i zostaną dodane do baz danych wykorzystywanych przez programy Kaspersky Lab w najbliższej przyszłości.

Sygnatury wirusa Virus.Win32.Gpcode.ai zostały już dodane do antywirusowych baz danych firmy Kaspersky Lab. Wszystkim użytkownikom zaleca się jak najszybsze przeprowadzenie aktualizacji baz danych. Podkreślamy również, że moduł ochrony proaktywnej wbudowany w rozwiązania Kaspersky Lab zapewnia ochronę przed tym szkodnikiem bez konieczności aktualizacji baz danych. Ochrona proaktywna wykrywa wirusa Gpcode.ai jako Trojan.generic lub Invader i natychmiast blokuje jego aktywność.

Kaspersky Lab apeluje do wszystkich osób, których pliki zostały zaszyfrowane przez Gpcode’a, aby nie spełniały żądań twórców tego wirusa, ponieważ pieniądze zachęcą ich tylko do kolejnych przestępstw. Rozwiązania antywirusowe potrafią poradzić sobie z tym szkodnikiem i przywrócić zaszyfrowane dane do pierwotnej postaci.

Pełny opis wirusa Virus.Win32.Gpcode.ai znajduje się w Encyklopedii Wirusów Viruslist.pl prowadzonej przez Kaspersky Lab: http://viruslist.pl/encyclopedia.html?cat=5&uid=4964.