Powrót wirusa-szantażysty

redakcja 01-12-2010, 16:39

GpCode - wirus szyfrujący pliki na zainfekowanych komputerach i żądający pieniędzy za przywrócenie zarekwirowanych danych - powrócił w nowej odsłonie. Szanse na odzyskanie zaszyfrowanych przez niego informacji są bardzo małe - ostrzega Kaspersky Lab.

Wirus GpCode jest znany od 2004 roku. Nowe wersje tego szkodnika pojawiały się regularnie aż do 2008 roku, kiedy to autor GpCode’a zamilkł. Cisza trwała do listopada br. Najnowsze odkrycia ekspertów z Kaspersky Lab świadczą o tym, że GpCode wrócił i jest groźniejszy niż kiedykolwiek wcześniej.

>> Czytaj także: Zapłać, a odzyskasz zaszyfrowane pliki

Wirus jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są znikome mówi Witalij Kamliuk, ekspert z Kaspersky Lab. W praktyce infekcja najnowszą wersją GpCode’a oznacza niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi. Teraz także robimy wszystko, co w naszej mocy, aby pomóc ofiarom najnowszego wirusa.

W przeciwieństwie do wcześniejszych wariantów nowy GpCode nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, które świetnie się sprawdzało w usuwaniu skutków infekcji poprzednich wersji tego wirusa. Wstępna analiza wykazała, że GpCode.ax szyfruje pliki przy użyciu algorytmów RSA-1024 oraz AES-256. Warto odnotować, szyfrowana jest tylko część pliku, począwszy od pierwszego bajtu.

Jak rozpoznać infekcję?

Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z poniższym komunikatem:

GpCode - oznaka infekcji

W tym momencie istnieje jeszcze szansa na uratowanie danych! Należy jak najszybciej bez wahania wyłączyć komputer, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej. Kolejną oznaką infekcji jest nagła zmiana pulpitu na poniższy:

GpCode - oznaka infekcji

Co robić, gdy komputer zostanie zainfekowany?

Eksperci nie opracowali jeszcze narzędzia, które mogłoby odzyskać dane zaszyfrowane przez najnowszą wersję wirusa. Użytkownicy, którzy podejrzewają, że ich komputery zostały zainfekowane, nie powinni nic zmieniać w systemie, gdyż może to uniemożliwić odzyskanie danych, gdy taka metoda zostanie opracowana. Jeżeli na komputerze znajdują się cenne informacje, na których przywróceniu użytkownikowi bardzo zależy, najlepiej wyłączyć komputer i poczekać na pojawienie się odpowiedniego rozwiązania - doradzają eksperci. Choć twórca GpCode’a twierdzi, że zaszyfrowane pliki zostaną usunięte po kilku dniach, dotychczasowa analiza przeprowadzona przez Kaspersky Lab nie wykazała istnienia mechanizmu niszczenia danych po określonym czasie.


Źródło: Kaspersky Lab
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
27282930