Wirus GpCode jest obecny w Internecie od 2004 roku. Nowe wersje tego szkodnika pojawiały się regularnie, aż do 2008 roku, kiedy to autor GpCode?a zamilkł. Cisza trwała aż do listopada 2010 r. Najnowsze odkrycia ekspertów z Kaspersky Lab świadczą o jednym - GpCode wrócił i jest groźniejszy niż kiedykolwiek wcześniej.
Infekcje obserwowane od kilku dni są bardzo podobne to tych dokonywanych przez wersję .ak GpCode`a z 2008 roku. Pełny opis tego wirusa można znaleźć tutaj: http://www.viruslist.pl/encyclopedia.html?cat=5&uid=5252.
"Wirus jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są znikome", mówi Witalij Kamliuk, ekspert z Kaspersky Lab. "W praktyce infekcja najnowszą wersją GpCode`a oznacza niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi. Teraz także robimy wszystko, co w naszej mocy, aby pomóc ofiarom najnowszego wirusa."
W przeciwieństwie do wcześniejszych wariantów, nowy GpCode nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, które świetnie się sprawdzało w usuwaniu skutków infekcji poprzednich wersji tego wirusa. Wstępna analiza wykazała, że GpCode.ax szyfruje pliki przy użyciu algorytmów RSA-1024 oraz AES-256. Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu.
Co robić, gdy komputer został już zainfekowany?
Użytkownicy, którzy podejrzewają, że ich komputery zostały zainfekowane, nie powinni nic zmieniać w systemie - może to całkowicie uniemożliwić odzyskanie danych, gdy pojawi się już taka metoda. Jeżeli na komputerze znajdują się cenne dane, na których odzyskaniu użytkownikowi bardzo zależy, najlepiej wyłączyć zainfekowany komputer i poczekać na pojawienie się rozwiązania przywracającego zaszyfrowane dane. Mimo że twórca GpCode`a twierdzi, że zaszyfrowane pliki zostaną usunięte po kilku dniach, dotychczasowa analiza przeprowadzona przez ekspertów z Kaspersky Lab nie wykazała istnienia mechanizmu niszczenia danych po określonym czasie.
Jak rozpoznać infekcję?
Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z komunikatem informującym o zaszyfrowaniu danych. W tym momencie istnieje jeszcze szansa na ich uratowanie - należy jak najszybciej bez wahania wyłączyć komputer, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej! Kolejną oznaką infekcji jest nagła zmiana pulpitu.
Informacje o postępach w pracy analityków z Kaspersky Lab, mających na celu opracowanie metody odzyskiwania plików zaszyfrowanych przez najnowszą wersję GpCode`a, będą pojawiały się na blogu dostępnym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html.
Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed najnowszą wersją GpCode?a. Szkodnik ten jest wykrywany jako Trojan-Ransom.Win32.GpCode.ax.
Infekcje obserwowane od kilku dni są bardzo podobne to tych dokonywanych przez wersję .ak GpCode`a z 2008 roku. Pełny opis tego wirusa można znaleźć tutaj: http://www.viruslist.pl/encyclopedia.html?cat=5&uid=5252.
"Wirus jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są znikome", mówi Witalij Kamliuk, ekspert z Kaspersky Lab. "W praktyce infekcja najnowszą wersją GpCode`a oznacza niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi. Teraz także robimy wszystko, co w naszej mocy, aby pomóc ofiarom najnowszego wirusa."
W przeciwieństwie do wcześniejszych wariantów, nowy GpCode nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, które świetnie się sprawdzało w usuwaniu skutków infekcji poprzednich wersji tego wirusa. Wstępna analiza wykazała, że GpCode.ax szyfruje pliki przy użyciu algorytmów RSA-1024 oraz AES-256. Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu.
Co robić, gdy komputer został już zainfekowany?
Użytkownicy, którzy podejrzewają, że ich komputery zostały zainfekowane, nie powinni nic zmieniać w systemie - może to całkowicie uniemożliwić odzyskanie danych, gdy pojawi się już taka metoda. Jeżeli na komputerze znajdują się cenne dane, na których odzyskaniu użytkownikowi bardzo zależy, najlepiej wyłączyć zainfekowany komputer i poczekać na pojawienie się rozwiązania przywracającego zaszyfrowane dane. Mimo że twórca GpCode`a twierdzi, że zaszyfrowane pliki zostaną usunięte po kilku dniach, dotychczasowa analiza przeprowadzona przez ekspertów z Kaspersky Lab nie wykazała istnienia mechanizmu niszczenia danych po określonym czasie.
Jak rozpoznać infekcję?
Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z komunikatem informującym o zaszyfrowaniu danych. W tym momencie istnieje jeszcze szansa na ich uratowanie - należy jak najszybciej bez wahania wyłączyć komputer, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej! Kolejną oznaką infekcji jest nagła zmiana pulpitu.
Informacje o postępach w pracy analityków z Kaspersky Lab, mających na celu opracowanie metody odzyskiwania plików zaszyfrowanych przez najnowszą wersję GpCode`a, będą pojawiały się na blogu dostępnym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html.
Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed najnowszą wersją GpCode?a. Szkodnik ten jest wykrywany jako Trojan-Ransom.Win32.GpCode.ax.
Dalszych informacji udziela:
Piotr Kupczyk
Dyrektor działu prasowego, Kaspersky Lab Polska
piotr.kupczyk@kaspersky.pl
tel.: 0 801 000 215, (34) 368 18 14
tel. kom.: 518 935 846
Brak komentarzy:
Prześlij komentarz