Powrót Gpcode - nowy wariant "wirusa szantażystów"

Pojawił się nowy wariant wirusa, który szyfruje dane swojej ofiary silnym algorytmem kryptograficznym, aby następnie jego właściciel mógł zażądać okupu za dostarczenie deszyfratora.

Według firmy Kaspersky Lab, nowy wariant wirusa szyfrującego Gpcode, działającego na platformie Windows, stanowi dużo większe zagrożenie niż jego pierwotna wersja (która praktycznie znikła na ok. półtora roku ze sceny), ponieważ używa dużo silniejszego algorytmu kryptograficznego, znacznie trudniejszego do złamania. Analitykom firmy dotychczas nie udało się odszyfrować plików zaatakowanych przez nowy wariant wirusa, a ponadto nie wykryto żadnych błędów w implementacji algorytmu szyfrującego RSA.

Wczesne wersje wirusa Gpcode, który pojawił się ponad trzy lata temu, wykorzystywały dużo słabsze szyfrowanie, a poza tym niewłaściwie zaimplementowane, co ułatwiało złamanie szyfru.

Jednak Gpcode.ak, wykorzystujący algorytm RSA z kluczem o długości 1024 bitów, okazuje się trudnym do złamania. Specjaliści Kaspersky Lab zalecają w związku z tym częste składowanie danych w celu uniknięcia kłopotów w wypadku infekcji.

Gpcode.ak jest trudny do wykrycia, ponieważ podejmuje próbę samodestrukcji po wykonaniu szyfrowania. Do tej pory zidentyfikowano tylko garstkę komputerów z plikami, które zostały złośliwie zaszyfrowane. Większość z nich pochodzi z krajów rosyjskojęzycznych, Europy i Afryki.

Podstawowy sposób rozpowszechniania wirusa nie jest jeszcze całkiem jasny, ale według specjalistów Kaspersky Lab jest to pewna forma socjotechniki - nagabywanie użytkowników do wykonywania działań, których wykonywać nie powinni.

Gpcode.ak szyfruje pliki o różnych rozszerzeniach, między innymi: .doc, .txt, .pdf, .xls, .jpg, .png i inne. Po zaszyfrowaniu plików na atakowanym komputerze Gpcode dodaje do nich rozszerzenie ._CRYPT i w każdym folderze zawierającym zaszyfrowane obiekty umieszczany jest plik !_READ_ME_!.txt, który informuje o zaszyfrowaniu plików i oferuje sprzedaż programu deszyfrującego.

W związku z ponownym pojawieniem się Gpcode, firma zaleca szczególną ostrożność w otwieraniu załączników i klikaniu na niepewnych linkach, na mało znanych stronach WWW.


Zobacz również