Szantażysta wraca ? wirus GpCode znowu atakuje

 Kaspersky Lab informuje o wykryciu nowej wersji niesÅ‚awnego wirusa GpCode, który szyfruje pliki na zainfekowanych komputerach i żąda pieniÄ™dzy za przywrócenie zarekwirowanych danych. Szanse na odzyskanie danych zaszyfrowanych przez nowÄ… wersjÄ™ GpCode’a (.ax) sÄ… bardzo maÅ‚e.

Wirus GpCode jest obecny w Internecie od 2004 roku. Nowe wersje tego szkodnika pojawiaÅ‚y siÄ™ regularnie, aż do 2008 roku, kiedy to autor GpCode’a zamilkÅ‚. Cisza trwaÅ‚a aż do listopada 2010 r. Najnowsze odkrycia ekspertów z Kaspersky Lab Å›wiadczÄ… o jednym – GpCode wróciÅ‚ i jest groźniejszy niż kiedykolwiek wczeÅ›niej.

Infekcje obserwowane od kilku dni sÄ… bardzo podobne to tych dokonywanych przez wersjÄ™ .ak GpCode’a z 2008 roku. PeÅ‚ny opis tego wirusa można znaleźć tutaj: http://www.viruslist.pl/encyclopedia.html?cat=5&uid=5252.

„Wirus jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych sÄ… znikome”, mówi Witalij Kamliuk, ekspert z Kaspersky Lab. „W praktyce infekcja najnowszÄ… wersjÄ… GpCode’a oznacza niemal trwaÅ‚e usuniÄ™cie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliÅ›my kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzÄ™dzi. Teraz także robimy wszystko, co w naszej mocy, aby pomóc ofiarom najnowszego wirusa.”

W przeciwieÅ„stwie do wczeÅ›niejszych wariantów, nowy GpCode nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, które Å›wietnie siÄ™ sprawdzaÅ‚o w usuwaniu skutków infekcji poprzednich wersji tego wirusa. WstÄ™pna analiza wykazaÅ‚a, że GpCode.ax szyfruje pliki przy użyciu algorytmów RSA-1024 oraz AES-256. Szkodnik szyfruje tylko część pliku, poczÄ…wszy od pierwszego bajtu.

Co robić, gdy komputer został już zainfekowany?

Użytkownicy, którzy podejrzewajÄ…, że ich komputery zostaÅ‚y zainfekowane, nie powinni nic zmieniać w systemie – może to caÅ‚kowicie uniemożliwić odzyskanie danych, gdy pojawi siÄ™ już taka metoda. Jeżeli na komputerze znajdujÄ… siÄ™ cenne dane, na których odzyskaniu użytkownikowi bardzo zależy, najlepiej wyÅ‚Ä…czyć zainfekowany komputer i poczekać na pojawienie siÄ™ rozwiÄ…zania przywracajÄ…cego zaszyfrowane dane. Mimo że twórca GpCode’a twierdzi, że zaszyfrowane pliki zostanÄ… usuniÄ™te po kilku dniach, dotychczasowa analiza przeprowadzona przez ekspertów z Kaspersky Lab nie wykazaÅ‚a istnienia mechanizmu niszczenia danych po okreÅ›lonym czasie.

Jak rozpoznać infekcję?

Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z poniższym komunikatem:

W tym momencie istnieje jeszcze szansa na uratowanie danych. Należy jak najszybciej bez wahania wyłączyć komputer, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej!

Kolejną oznaką infekcji jest nagła zmiana pulpitu na poniższy:

Informacje o postÄ™pach w pracy analityków z Kaspersky Lab, majÄ…cych na celu opracowanie metody odzyskiwania plików zaszyfrowanych przez najnowszÄ… wersjÄ™ GpCode’a, bÄ™dÄ… pojawiaÅ‚y siÄ™ na blogu dostÄ™pnym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html.

Użytkownicy produktów Kaspersky Lab sÄ… w peÅ‚ni chronieni przed najnowszÄ… wersjÄ… GpCode’a. Szkodnik ten jest wykrywany jako Trojan-Ransom.Win32.GpCode.ax.