Новая версия Gpcode

[Danilka 678]

«Лаборатория Касперского» предупреждает о появлении в интернете новой версии вредоносной программы-шифровальщика Gpcode.

Программа распространяется через вредоносные веб-сайты и посредством P2P-сетей.

В данный момент антивирусные продукты «Лаборатории Касперского» детектируют программу под названием Trojan-Ransom.Win32.Rsaist.c.

Более подробная информация будет доступна в нашем блоге в ближайшее время.

http://www.securelist.com/ru/alerts?alertid=203698717

[DaTa 182]

http://www.symantec.com/security_response/...-112517-0111-99

[Danilka 678]

DaTa

У Симантек всегда все спокойно и простенько.

[DaTa 182]

[offtop]Не всегда, помню была замануха с трояном который слал сообщения с заголовком "Here you have..."(VBMania) [/offtop]

А так всех грац с детектом, надеюсь файлы расшифруют без проблем для юзеров.

[OlegAndr 236]

http://www.symantec.com/security_response/...-112517-0111-99

# Threat Containment: Easy

# Removal: Easy

Я буду посмотреть, какое там изи для ключа в RSA-1024

[Pavel Yablonskiy 20]

А тельце зловреда у кого-нить есть?

[Alex Gorgeous 35]

Был Trojan-Ransom.Win32.Rsaist.c, но потом переименовали в Trojan-Ransom.Win32.Gpcode.ax?

[DaTa 182]

Я буду посмотреть, какое там изи для ключа в RSA-1024

Ну наверное SSR(Symantec Security Response) подразумевает что само удаление трояна не сложно, а вот последствия работы вредоносного кода не учитываются. Кстати если посмотреть на уровень повреждений наносимых трояном то он уже не лёгкий, а средний. У меня даже предчуствие что они не разработали алгоритм дешифрования(точнее не выпилили его из вредоносного файла).

[Андрей-001 1099]

Выходит, что новый Gpcode заражает почти все популярные пользовательские форматы:

1cd, 3gp, avi, bmp, cdr, cer, dbf, doc, docx, dwg, flv, ifo, jpeg, jpg, kwm, lnk,

m2v, max, md, mdb, mdf, mov, mp3, mpeg, mpg, odt, p12, pdf, pfx, ppt, pptx, psd, pwm,

rar, txt, vob, xls, xlsx, xlsx, zip

Пока все другие вендоры пошевелятся, это разрастётся до эпидемии.

Securelist: Более подробная информация будет доступна в нашем блоге в ближайшее время.

На английском уже кое-что есть:

http://www.securelist.com/en/blog/333/GpCo...somware_Is_Back

[Danilka 678]

Attention!!!

All your personal files (photo, documents, texts, databases, certificates, kwm-files, video) have been encrypted by a very strong cypher RSA-1024. The original files are deleted. You can check this by yourself - just look for files in all folders.

There is no possibility to decrypt these files without a special decrypt program! Nobody can help you - even don't try to find another method or tell anybody. Also after n days all encrypted files will be completely deleted and you will have no chance to get it back.

We can help to solve this task for 120$ via wire transfer (bank transfer SWIFT/IBAN). And remember: any harmful or bad words to our side will be a reason for ingoring your message and nothing will be done.

For details you have to send your request on this e-mail (attach to message a full serial key shown below in this 'how to..' file on desktop): datafinder@fastmail.fm

EA2CDB6B96BFC99BCB517270C2577380977FF06352ECDFC5301C1C30A3394F1C272B884671ACE6B2

B0634C7B9591B0F992562909505E60E36CB050C3F86D45F7

66BD477FBB59B355A88D93B7D59C2A8B29C03E99C22B61F1916B59A4A555412BD152736CF79CE7DB

10CFBCD03E2FEFE1B0E6D2D0D9DC8D94EB993ECB6FC9FF9C

Вот такое сообщения получают пользователи.

Тема на оф. форуме ЛК: http://forum.kaspersky.com/index.php?showtopic=193323

P.S. Дешифратор, спецы ЛК обещают написать за неделю.

P.P.S. Юрец, так? За неделю?

[mvs 92]

P.S. Дешифратор, спецы ЛК обещают написать за неделю.

P.P.S. Юрец, так? За неделю?

За неделю - это будет круто!

[strat 275]

Дешифратор, спецы ЛК обещают написать за неделю.

Тот самый случай, когда мониторинг активности kis2011 должен был бы полностью откатить все действия вредоносной программы. Я понимаю, что шифрование файлов не отслеживается, так вот собственно и путь к совершенствованию.

[sww 486]

Я понимаю, что шифрование файлов не отслеживается, так вот собственно и путь к совершенствованию.

При покупке коробочной версии KAV/KIS будем требовать еще бабла за терабайтный винт, куда и будут складываться копии файлов до заражения.

[Umnik 997]

sww

Технически можно заставить PDM реагировать на шифрование данных, как я понимаю.

[Андрей-001 1099]

Технически можно заставить PDM реагировать

Umnik

В саппорт-статье, судя по дате - 30.11.2010 12:32, произошли оперативные изменения: http://support.kaspersky.ru/faq/?qid=208638548

Разве этого будет недостаточно, чтобы противостоять действию Trojan-Ransom.Win32.Gpcode.ax?

[DaTa 182]

Не у всех пользователей ЛК стоит КИС. Есть люди которые пользуются просто антивирусом + нельзя забывать за корпоративный сектор.

[Umnik 997]

Если я правильно понимаю механизм работы этой версии ГПКода - нет, не поможет. Именно в такой реализации не поможет. Если мне станет больше известно о нем, возможно, внесу дополнения, дабы как-то защитить данные, сведя ущерб к минимуму.

[sww 486]

Технически можно заставить PDM реагировать на шифрование данных, как я понимаю.

Нифига ты не понимаешь

Можно попробовать реализовать некую эвристику, но как-то я сомневаюсь в ее адекватности и тем более в ее "всеохватываемости". И это все будет ужасно тормозить, скорее всего.

[Юрий Паршин 330]

P.S. Дешифратор, спецы ЛК обещают написать за неделю.

P.P.S. Юрец, так? За неделю?

Нет, на тот момент мы еще не получили последние самплы - насчет утилиты для них сказать пока сложно.

[strat 275]

При покупке коробочной версии KAV/KIS будем требовать еще бабла за терабайтный винт, куда и будут складываться копии файлов до заражения.

Ну зачем же так, у всех на винте обычно есть свободное место, и давно известно что с ним делать:

Обзор ShadowUser Pro

Суть работы ShadowUser сводится к созданию прозрачной «прослойки» между файловой и операционными системами. При активированном ShadowUser любые изменения любых файлов записываются на свободное место, а после перезагрузки могут быть уничтожены. Таким образом, работа происходит не с самими файлами, а с их «тенями» или копиями.

купите технологию, встройте в Crystal, по умолчанию защищать те же папки "мои документы" и т.д.

[Danilka 678]

http://www.securelist.com/ru/blog/40195/GpCode_vernulsya

[Umnik 997]

Можно попробовать реализовать некую эвристику, но как-то я сомневаюсь в ее адекватности и тем более в ее "всеохватываемости". И это все будет ужасно тормозить, скорее всего.

Нуууу, со всеохватываемостью согласен, а вот с детектом в принципе... Нет, можно сделать На счет тормозить, это другой вопрос. Вон, откат PDM и SW тоже стоит ресурсов. Дело-то в том, сколько этих ресурсов нужно.

Ну зачем же так, у всех на винте обычно есть свободное место, и давно известно что с ним делать:

Обзор ShadowUser Pro

Это функция бекаперов.

купите технологию, встройте в Crystal, по умолчанию защищать те же папки "мои документы" и т.д.

Бекап Кристалла и так может восстановить документы, если бекап сам был создан.

[Danilka 678]

На счет тормозить, это другой вопрос. Вон, откат PDM и SW тоже стоит ресурсов. Дело-то в том, сколько этих ресурсов нужно.

Ты опрос на форуме проведи, да Итак жалуются, что все тормозит...

[sww 486]

Ну зачем же так, у всех на винте обычно есть свободное место, и давно известно что с ним делать:

Мамой КлянусЪ? ©

P.S. Я знаю, что такое Шадов Юзер.

Нуууу, со всеохватываемостью согласен, а вот с детектом в принципе... Нет, можно сделать

Для разогрева надо ответить на вопрос: что делать с файловым мэппингом?

Короче, не знаешь - не выступай

[Виталий Я. 859]

Кажется мне, мы знакомы с этим беднягой: http://www.securelist.com/ru/userinfo/28151