Понедельник, 30.12.2024, 20:53 Приветствую вас Гость | Группа "Гости" 
Меню сайта

Категории раздела
Вирусология [40]
Статьи о вирусах
Системные [1]
Работа с системой
Примеры [45]
Приёмы, функции, процедуры
Ceти [1]
Работа с интернет
Шуточные программы [5]
Пишем шуточные программки
Остальное [6]
Всё что не вошло

Популярные статьи

Недавние темы

Опрос
Как часто Вы пользуетесь Интернетом?
Всего ответов: 185

Главная » Статьи » Delphi » Вирусология

Trojan-Ransom.Win32.GpCode или его более свежая разработка
Quote
Здравствуйте. Установлен KIS2012 с последними базами. При включении компьютера из автозагрузки загрузился файл: HOW TO DECRYPT FILES.txt с текстом:

"
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

====================================================================
Odgh447DRMAQUaP8i2t6R0paHu02X73
====================================================================

"

Все файлы стали иметь расширение: *.ENC и насколько я понял стали зашифрованы. Очень прошу помочь.


Для шифрования файлов вирус использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA (длиной 1024 бит), содержащимся в теле вируса.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

Вирус создает зашифрованную копию файла, имеющую оригинальное имя файла и расширение к которому добавляется _CRYPT. Пример:

первоначальный файл: WaterLilles.jpg

зашифрованный файл: WaterLilles.jpg._CRYPT

Затем первоначальный файл удаляется.

В каждый каталог, файлы которого были зашифрованы, вредоносная программа помещает файл «!_READ_ME_!.txt» следующего содержания:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [censored]@yahoo.com

=== BEGIN ===
[key]
=== END ===
Файлы, находящиеся в каталоге Program Files шифрованию не подвергаются. Также вирус не шифрует файлы:

имеющие аттрибуты «системный» и «скрытый»; имеющие размер меньше 10 байт; имеющие размер больше 734003200

В ходе своей работы вирус не регистрирует себя в системном реестре.

По окончанию работы вирус создает VBS-файл, который удаляет основное тело вируса с компьютера.

Также известен как: Troj / Ransom-U [Sophos], GPcoder.j [McAfee], Trojan-Ransom.Win32.Gpcode.ax [Kaspersky]Длина:10752 байт
Системы, подверженные уязвимости: Windows 2000, Windows Server 2003, Windows Vista, Windows XP
Trojan.Gpcoder.G это троянский конь, который шифрует файлы на зараженном компьютере, а затем предлагает пользователю приобрести пароль, чтобы расшифровать их.(такое письмо есть выше этого текста)

При запуске троянец ищет зараженном компьютере файлы со следующими расширениями:
.1cd
.3gp
.avi
.bmp
.cdr
.cer
.dbf
.doc
.doc
.docx
.docx
.dwg
.flv
.ifo
.jpeg
.jpg
.kwm
.lnk
.m2v
.max
.md
.mdb
.mdb
.mdf
.mov
.mp3
.mpeg
.mpg
.odt
.p12
.pdf
.pfx
.ppt
.pptx
.psd
.pwm
.rar
.txt
.vob
.xls
.xls
.xlsx
.xlsx
.zip

Троянец добавляет расширение .ENCODED(.ENC) к имени зашифрованного файла

Ключ шифрования располагает в %UserProfile%\Desktop\HOW TO DECRYPT FILES.txt

«Лаборатория Касперского» предупреждает о появлении в интернете новой версии вредоносной программы-шифровальщика Gpcode.

Программа распространяется через вредоносные веб-сайты и посредством P2P-сетей.

Антивирусные продукты «Лаборатории Касперского» детектируют программу под названием Trojan-Ransom.Win32.Gpcode.ax.
Категория: Вирусология | Добавил: GReIIIHuK (09.10.2012)
Просмотров: 7383 | Комментарии: 2 | Рейтинг: 5.0/3

Всего комментариев: 2
avatar
2 nikitoz_tavr • 09:40, 04.12.2012
кто то писал про Open Source, да, действительно, он в паблике лежит, но он шифрует алгоритмом XOR если не ошибаюсь... да и сыр он очень)
avatar
1 nikitoz_tavr • 17:19, 15.10.2012
у меня исходник этого троя есть)
Ответ: Значит тебе повезло его найти, если это конечно правда
avatar
Профиль



Поиск

Наша кнопка
Вирусология, взгляд из Delphi

Статистика
Top.Mail.Ru Яндекс.Метрика Счетчик тИЦ и PR
Статистика материалов
Файлов: 457
Форум: 1176/8168
Коментариев: 770
Новостей: 29

Статистика пользователей
Всего: 385
За неделю: 0
Вчера: 0
Сегодня: 0
Всего онлайн: 44
Гостей: 44
Пользователей: 0

delphicode.ru © 2008 - 2024 Хостинг от uCoz