GPCode - 3

[Umnik 997]

Источник

Сегодня мы получили настораживающее известие: появилась новая версия троянца Gpcode, шифрующего файлы. В тот же момент мы начали искать файлы в Сети, расспрашивая пострадавших пользователей. Мы получили текстовое описание троянца, но образца не нашли так как троянец повидимому само-удалялся после запуска.Однако это нас не остановило и мы продолжили поиски в Сети. Нам повезло и мы нашли экземпляр вредоносной программы по имеющимся у нас признакам. Она распространялась через один из ботнетов.

В текстовом файле crypted.txt, оставленном троянцем после атаки, автор требует 10$ за расшифровку файла, а также указывает контактные координаты: email, icq, URL. По адресу указанному в файле crypted.txt находится веб-страница, на которой на русском языке написано следующее:

“Добрый день.

Для вас 3 новости, не очень хорошая и две очень хороших и Начнем мы с неочень хорошей.

Неочень хорошая новость заключается в том, что все ваши файлы зашифрованы современным алгоритмом AES-256.

В программе использован метод Открытых-закрытых ключей.

Используется 99999 клюей для шифрования, на каждой зараженной машине используется один ключ, повторов нет.

Перебор ключей к алгоритму AES-256 невозможен в ближайщие 1000 лет

Надежды на Антивирусные компании - Нет.

Алгоритм AES-256 используют американские спец службы для шифрования своих документов.И вот первая Хорошая новость:

Файлы можно дешифровать.

Вторая очень хорошая новость:

Для дешифрации необходимо заплатить всего-то - 10 долларов.”

После атаки троянец изменяет фон рабочего стола на следующий:

Мы настоятельно рекомендуем всем жертвам данной вредоносной программы не поддаваться на предложение автора купить ключ. Мы также хотим подчеркнуть что вся информация, в частности алгоритм шифрования, число уникальный ключей, а также длина ключа, указанные в текстовом файле на данном этапе не потверждена.

Пока мы не проанализировали алгоритм шифрования троянской программы, вы можете попробовать воспользоваться методом восстановления файлов описанном нами в борьбе Gpcode.ak. Уже есть подтверждения частичного восстановления файлов пострадавшими пользователями.

Наш адрес stopgpcode@kaspersky.com, созданный в борьбе с предыдущей версией этой вредоносной программы, по-прежнему работает. Если вы или ваши знакомые стали жертвой данного троянца, напишите нам на этот адрес и мы предоставим вам информацию о том, что можно предпринять для возврата зашифрованных данных.

У меня только вопрос. Автора действительно ищут или как?

[ANDYBOND 283]

Скорее всего "или как".

[Lemmit 31]

Если автора все-таки найдут, это совсем не гарантирует, что не найдется продолжателей его дела.

Как говорили в старой рекламе, 10 баксов-то не лишние.

[rubin-VInfo 10]

первые пострадавшие

http://forum.kaspersky.com/index.php?showtopic=80266

[ANDYBOND 283]

Если автора все-таки найдут, это совсем не гарантирует, что не найдется продолжателей его дела.

Как говорили в старой рекламе, 10 баксов-то не лишние.

Возможно, но всё же желательно его найти.

[Ego1st 95]

а самого Gpcode.ak нету в заначке у кого-нибудь?

[Alex_Goodwin 81]

а самого Gpcode.ak нету в заначке у кого-нибудь?

Стучись в личку.

[dot_sent 140]

Если автора все-таки найдут, это совсем не гарантирует, что не найдется продолжателей его дела.

Как говорили в старой рекламе, 10 баксов-то не лишние.

В титульном сообщении не приведена полная версия сообщения, отображаемого троянчегом. Полная версия доступна по адресу hxxp://decryptor.freevar.com/ (вредоносов на самой странице вроде бы нет). В частности, там есть такой абзац:

[skip]

Программа продается.

Цена 1999 дол. При наличии хорошего ботнета - Окупаемость - 3 дня.

Имеется коллекция из более чем 100 000 расширений файлов на выбор, сортирована по типам.

Расширения текстовых документов, музыкальных, архивынх, графические, бинарные и тд.

Можно настроить программу под ваши нужны.

Если вайлы на вашем компьютере зашифрованы и вы приобрели у нас программу, то дешифратор для ваших файлов вы получаете бесплатно.

Работаю по принципу- утром деньги, вечером программа. Иное не обсуждается.

Программа не расчитана на массового пользователя.

Колличество ограничено.

Имеем право отказать в продаже каждому, без объяснения причин.

[skip]

Так что, боюсь, аффтара придется искать оччень долго. Хотя бы потому, что последователи не преминут появиться...

[Lemmit 31]

http://info.drweb.com/show/3493/?lng=ru

Trojan.Encoder.19=вчерашний GPcode?

И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?

[Lemmit 31]

Говорят - таки да, работает.

Молодцы!

[Иван 290]

Некоторые антивирусные компании воспользовались не самыми умелыми действиями вирусописателя для пиара своих возможностей по дешифровке файлов данных. Однако ясно было, что в подобной гонке победа не будет за антивирусными компаниями - рано или поздно, должен был появиться достаточно длинный ключ, «взлом» которого в разумные сроки не будет возможным.