Гламурный вирус-вымогатель обнаружен и обезврежен

17.07.2007 |

Поликом Про сообщает о том, что вчера специалисты Лаборатории Касперского зафиксировали появление новой версии печально известной шантажной программы Gpcode.

Обнаруженная недавно вирусными аналитиками Лаборатории Касперского вредоносная программа Virus.Win32.Gpcode.ai при попадании на компьютер жертвы использует определенный криптографический алгоритм для шифрования личных документов и архивов пользователя, в результате чего они перестают открываться. Кроме того, в системе появляются файлы read_me.txt, в котором сообщается, что файлы пользователя были зашифрованы с использованием алгоритма RSA-4096 и на их расшифровку требуется несколько лет. Преступники, назвавшие себя "Гламурной командой", предлагают вернуть украденные данные за выкуп в 300 долларов. Содержание этого послания выглядит так:

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.
If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.
Glamorous team

Однако, на самом деле данная версия шантажной программы использует другой криптографический алгоритм, модифицированный RC4. Также ложным оказалось заявление вирусописателей о том, что личные файлы пользователей были отосланы злоумышленникам - никакие файлы никуда не отправлялись.

Различные версии Gpcode в прошлом неоднократно обнаруживались Лабораторией Касперского, и во всех без исключения случаях специалисты компании успешно находили ключ для расшифровки пораженных файлов.

Детектирование вредоносной программы Virus.Win32.Gpcode.ai уже включено в антивирусные базы Лаборатории Касперского. Всем пользователям продуктов компании рекомендуется обновить сигнатуры угроз. Также, специалистам Лаборатории Касперского удалось создать процедуру расшифровки поврежденных файлов, которая будет добавлена в антивирусные базы в самое ближайшее время.

Необходимо отметить, что модуль проактивной защиты, интегрированный в антивирусные продукты Лаборатории Касперского версий 6.0 и 7.0, надежно защищает пользователей от данной угрозы даже без обновления антивирусных баз, детектируя эту шантажную программу как Trojan.generic и Invader, блокируя ее активность.

Лаборатория Касперского настоятельно рекомендует всем пострадавшим от действий Gpcode.ai ни в коем случае не выплачивать злоумышленникам выкуп за восстановление данных и не спонсировать их дальнейшую преступную деятельность. Современные антивирусные программы в состоянии справиться с данной проблемой и вернуть вам ваши утерянные данные.