Авторы
Больше года мы ничего не слышали о троянцах-шифровальщиках. Знаменитая уже история о том, как антивирусные компании боролись с Gpcode, использовавшим для шифрования пользовательских данных алгоритм RSA, была детально описана в нашей статье «Шантажист«, и мы прогнозировали увеличение количества подобных программ в будущем.
Однако ждать пришлось больше года.
В эти выходные некоторые из зарубежных пользователей обнаружили, что их документы, фотографии, архивы и рабочие файлы перестали открываться и представляют собой «цифровой мусор», а в системе появились файлы с именем read_me.txt. Содержимое файлов было, к сожалению, узнаваемо:
Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.
Glamorous team
Неизвестный вымогатель вернулся? Адрес электронной почты, указанный в этом тексте, уже был знаком вирусным аналитикам «Лаборатории Касперского» — он встречался в некоторых вариантах троянских программ LdPinch и Banker. Эти троянцы имели четко выраженный российский след.
Анализ зашифрованных файлов, произведенный нашими специалистами, показал, что, несмотря на текст письма, вместо алгоритма RSA-4096 использована модификация алгоритма RC4, что значительно облегчает нам решение проблемы, и уже сегодня мы реализуем процедуры расшифровки пользовательских файлов в наших антивирусных базах.
Кроме того, несмотря на приведенный выше текст, зловред не собирает и не отправляет никаких файлов злоумышленникам — опасность утечки конфиденциальных данных отсутствует.
Троянский файл имеет размер 58368 байт и осуществляет свою вредоносную деятельность в зависимости от даты — только в период с 10 по 15 июля 2007 года.
Антивирус Касперского детектирует его как Virus.Win32.Gpcode.ai.
Также необходимо отметить, что Антивирус Касперского версий 6.0 и 7.0 в режиме проактивной защиты надежно защищает пользователей от данной угрозы, детектируя троянскую программу как Trojan.generic и Invader без обновления антивирусных баз.
Еще раз хотим подчеркнуть, что всем пострадавшим от действий Gpcode.ai ни в коем случае не следует вступать в переговоры с злоумышленниками и выплачивать им требуемые суммы за восстановление данных. Антивирусные программы в состоянии справиться с данной угрозой.
Авторы
От тех же авторов
В той же категории
Возвращение вымогателя