Описание вредоносного ПО

Возвращение вымогателя

Больше года мы ничего не слышали о троянцах-шифровальщиках. Знаменитая уже история о том, как антивирусные компании боролись с Gpcode, использовавшим для шифрования пользовательских данных алгоритм RSA, была детально описана в нашей статье «Шантажист«, и мы прогнозировали увеличение количества подобных программ в будущем.

Однако ждать пришлось больше года.

В эти выходные некоторые из зарубежных пользователей обнаружили, что их документы, фотографии, архивы и рабочие файлы перестали открываться и представляют собой «цифровой мусор», а в системе появились файлы с именем read_me.txt. Содержимое файлов было, к сожалению, узнаваемо:

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.

If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.

Glamorous team

Неизвестный вымогатель вернулся? Адрес электронной почты, указанный в этом тексте, уже был знаком вирусным аналитикам «Лаборатории Касперского» — он встречался в некоторых вариантах троянских программ LdPinch и Banker. Эти троянцы имели четко выраженный российский след.

Анализ зашифрованных файлов, произведенный нашими специалистами, показал, что, несмотря на текст письма, вместо алгоритма RSA-4096 использована модификация алгоритма RC4, что значительно облегчает нам решение проблемы, и уже сегодня мы реализуем процедуры расшифровки пользовательских файлов в наших антивирусных базах.

Кроме того, несмотря на приведенный выше текст, зловред не собирает и не отправляет никаких файлов злоумышленникам — опасность утечки конфиденциальных данных отсутствует.

Троянский файл имеет размер 58368 байт и осуществляет свою вредоносную деятельность в зависимости от даты — только в период с 10 по 15 июля 2007 года.

Антивирус Касперского детектирует его как Virus.Win32.Gpcode.ai.

Также необходимо отметить, что Антивирус Касперского версий 6.0 и 7.0 в режиме проактивной защиты надежно защищает пользователей от данной угрозы, детектируя троянскую программу как Trojan.generic и Invader без обновления антивирусных баз.

Еще раз хотим подчеркнуть, что всем пострадавшим от действий Gpcode.ai ни в коем случае не следует вступать в переговоры с злоумышленниками и выплачивать им требуемые суммы за восстановление данных. Антивирусные программы в состоянии справиться с данной угрозой.

Возвращение вымогателя

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике