Тема: Trojan.Gpcoder.G, Trojan-Ransom.Win32.Gpcode.ax

Опції теми

Пошук на тему

Відображення

Лінійний вигляд
Комбінований вигляд
Деревоподібний вигляд

Trojan.Gpcoder.G, Trojan-Ransom.Win32.Gpcode.ax

При запуску троянець шукає зараженому комп'ютері файли з такими розширеннями: 1cd, 3gp, avi, bmp, cdr, cer, dbf, doc, docx, dwg, flv, ifo, jpeg, jpg, kwm, lnk, m2v , max, md, mdb, mdf, mov, mp3, mpeg, mpg, odt, p12, pdf, pfx, ppt, pptx, psd, pwm, rar, txt, vob, xls, xlsx, xlsx, zip тобто. практично всі формати користувача. Троянець додає розширення .ENCODED до імені зашифрованого файлу Ключ шифрування розташовує в %UserProfile%\Desktop\HOW TO DECRYPT FILES.txt http://www.symantec.com/security_respon . 17-0111-99 http://www.securelist.com/en/blog/333/G . re_Is_Back

Re: Trojan.Gpcoder.G, Trojan-Ransom.Win32.Gpcode.ax

Люди, які ще не стикалися з цією проблемою, повинні знати про її існування та розпізнати GpCode з першої секунди появи на екрані попереджувальних повідомлень. Кнопка Reset/Увімкнення комп'ютера може врятувати значну частину даних. Будь ласка, запам'ятайте це та повідомте своїх друзів.

Якщо на екрані несподівано з'явиться спливаюче вікно Блокнота з вказаним текстом або вигляд робочого столу миттєво зміниться на щось на зразок цього, то негайно вимикайте комп'ютер або висмикніть шнур з розетки, якщо це найшвидший спосіб його вимкнути!

"Лабораторія Касперського" попереджає

Один із зловредів є модифікацією небезпечного троянця GpCode. Він шифрує файли з популярними розширеннями (doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd та ін.), після чого самознищується.

GpCode не поширюється самостійно – на комп'ютер він потрапляє через заражені сайти та вразливості до Adobe Reader, Java, Quicktime Player або Adobe Flash. На відміну від попередніх версій блокера, що існують ще з 2004 року, нова модифікація не видаляє оригінальні файли після розшифровки, а перезаписує дані.

Другим виявленим блокером став троянець Seftad, який вражає головний завантажувальний запис операційної системи (MBR). Два різновиди цієї шкідливої програми додані до антивірусних баз компанії під іменами Trojan-Ransom.Win32.Seftad.a і Trojan-Ransom.Boot.Seftad.a.

Після зараження Seftad переписує головний завантажувальний запис та вимагає гроші за надання пароля, за допомогою якого можна відновити початкову MBR. Після трьох неправильно введених паролів інфікований комп'ютер перезавантажується, і троянець знову виводить вимогу про переказ коштів.

Для запобігання зараженню блокерами GpCode та Seftad користувачам продуктів Лабораторії Касперського необхідно завантажити нові антивірусні бази. Експерти компанії рекомендують регулярно оновлювати все встановлене програмне забезпечення для закриття існуючих вразливостей.

Re: "Лабораторія Касперського" попереджає

Re: Trojan.Gpcoder.G, Trojan-Ransom.Win32.Gpcode.ax

При зараженні системи програма обходить UAC (захисний функціонал Windows), тому інсталяція в систему відбувається непомітно. Після встановлення троянець прописується до головного завантажувального запису та прилеглих секторів жорсткого диска. У головному завантажувальному записі жорсткого диска після зараження з'являється код, який завантажує інформацію із сусідніх секторів диска. Як наслідок – на екран виводяться вимоги зловмисників заплатити за розблокування системи $100. У повідомленні серед іншогоговориться про те, що вміст усіх дисків комп'ютера нібито зашифровано. Це не відповідає дійсності. У будь-якому випадку після факту зараження лікування із самої системи стає неможливим, тому що вона навіть не починає завантажуватися.

При введенні правильного пароля відбувається відновлення вихідного стану завантажувальної області диска, і завантаження встановленої операційної системи відбувається у звичайному режимі. В даний час відомо кілька модифікацій Trojan.MBRlock.1, кожна з яких визначається антивірусом Dr.Web однаково.

При цьому для кожного комп'ютера генерується унікальний ключ шифрування, після чого він шифрується за алгоритмом RSA і зберігається на диску у вигляді текстового файлу.