Перейти к содержанию

Recommended Posts

Umnik

Источник

Сегодня мы получили настораживающее известие: появилась новая версия троянца Gpcode, шифрующего файлы. В тот же момент мы начали искать файлы в Сети, расспрашивая пострадавших пользователей. Мы получили текстовое описание троянца, но образца не нашли так как троянец повидимому само-удалялся после запуска.Однако это нас не остановило и мы продолжили поиски в Сети. Нам повезло и мы нашли экземпляр вредоносной программы по имеющимся у нас признакам. Она распространялась через один из ботнетов.

В текстовом файле crypted.txt, оставленном троянцем после атаки, автор требует 10$ за расшифровку файла, а также указывает контактные координаты: email, icq, URL. По адресу указанному в файле crypted.txt находится веб-страница, на которой на русском языке написано следующее:

“Добрый день.

Для вас 3 новости, не очень хорошая и две очень хороших и Начнем мы с неочень хорошей.

Неочень хорошая новость заключается в том, что все ваши файлы зашифрованы современным алгоритмом AES-256.

В программе использован метод Открытых-закрытых ключей.

Используется 99999 клюей для шифрования, на каждой зараженной машине используется один ключ, повторов нет.

Перебор ключей к алгоритму AES-256 невозможен в ближайщие 1000 лет

Надежды на Антивирусные компании - Нет.

Алгоритм AES-256 используют американские спец службы для шифрования своих документов.И вот первая Хорошая новость:

Файлы можно дешифровать.

Вторая очень хорошая новость:

Для дешифрации необходимо заплатить всего-то - 10 долларов.”

После атаки троянец изменяет фон рабочего стола на следующий:

207758729.jpg

Мы настоятельно рекомендуем всем жертвам данной вредоносной программы не поддаваться на предложение автора купить ключ. Мы также хотим подчеркнуть что вся информация, в частности алгоритм шифрования, число уникальный ключей, а также длина ключа, указанные в текстовом файле на данном этапе не потверждена.

Пока мы не проанализировали алгоритм шифрования троянской программы, вы можете попробовать воспользоваться методом восстановления файлов описанном нами в борьбе Gpcode.ak. Уже есть подтверждения частичного восстановления файлов пострадавшими пользователями.

Наш адрес stopgpcode@kaspersky.com, созданный в борьбе с предыдущей версией этой вредоносной программы, по-прежнему работает. Если вы или ваши знакомые стали жертвой данного троянца, напишите нам на этот адрес и мы предоставим вам информацию о том, что можно предпринять для возврата зашифрованных данных.

У меня только вопрос. Автора действительно ищут или как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Скорее всего "или как".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Если автора все-таки найдут, это совсем не гарантирует, что не найдется продолжателей его дела.

Как говорили в старой рекламе, 10 баксов-то не лишние.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Если автора все-таки найдут, это совсем не гарантирует, что не найдется продолжателей его дела.

Как говорили в старой рекламе, 10 баксов-то не лишние.

Возможно, но всё же желательно его найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а самого Gpcode.ak нету в заначке у кого-нибудь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
а самого Gpcode.ak нету в заначке у кого-нибудь?

Стучись в личку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Если автора все-таки найдут, это совсем не гарантирует, что не найдется продолжателей его дела.

Как говорили в старой рекламе, 10 баксов-то не лишние.

В титульном сообщении не приведена полная версия сообщения, отображаемого троянчегом. Полная версия доступна по адресу hxxp://decryptor.freevar.com/ (вредоносов на самой странице вроде бы нет). В частности, там есть такой абзац:

[skip]

Программа продается.

Цена 1999 дол. При наличии хорошего ботнета - Окупаемость - 3 дня.

Имеется коллекция из более чем 100 000 расширений файлов на выбор, сортирована по типам.

Расширения текстовых документов, музыкальных, архивынх, графические, бинарные и тд.

Можно настроить программу под ваши нужны.

Если вайлы на вашем компьютере зашифрованы и вы приобрели у нас программу, то дешифратор для ваших файлов вы получаете бесплатно.

Работаю по принципу- утром деньги, вечером программа. Иное не обсуждается.

Программа не расчитана на массового пользователя.

Колличество ограничено.

Имеем право отказать в продаже каждому, без объяснения причин.

[skip]

Так что, боюсь, аффтара придется искать оччень долго. Хотя бы потому, что последователи не преминут появиться...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

http://info.drweb.com/show/3493/?lng=ru

Trojan.Encoder.19=вчерашний GPcode?

И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Говорят - таки да, работает.

Молодцы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Некоторые антивирусные компании воспользовались не самыми умелыми действиями вирусописателя для пиара своих возможностей по дешифровке файлов данных. Однако ясно было, что в подобной гонке победа не будет за антивирусными компаниями - рано или поздно, должен был появиться достаточно длинный ключ, «взлом» которого в разумные сроки не будет возможным.
:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Исправление ошибки будет включено в v4.99.3.
    • Ego Dekker
      Компания ESET (/исэ́т/) — лидер в области информационной безопасности — представляет обновленные продукты для обеспечения еще более мощной защиты домашних устройств Windows, macOS, Android и iOS, а также конфиденциальных данных на них. Теперь пользователям доступны новые функции – многопотоковое сканирование и ESET Folder Guard для защиты папок, а также другие улучшения для защиты устройств домашней сети от программ-вымогателей, фишинга и онлайн-мошенничества. Обновленные решения с улучшенным функционалом помогут защитить устройства от новых сложных киберугроз, которые постоянно развиваются. Несмотря на применение новейших технологий, решения ESET остаются простыми в использовании благодаря платформе ESET HOME для управления безопасностью, доступной для всех основных операционных систем. «Как прогрессивный поставщик цифровых решений по безопасности, ESET стремится всегда быть на шаг впереди злоумышленников. Наши эксперты создали мощные цифровые решения, которые объединяют более чем 30-летний человеческий опыт с искусственным интеллектом, многоуровневыми технологиями по безопасности и облачной защитой. Следуя подходу, направленному на предотвращение угроз, решения ESET обеспечивают конфиденциальность и безопасность, оставаясь при этом удобными, мощными, легкими и быстрыми», — комментирует вице-президент ESET в сегментах продуктов для домашних пользователей и устройств Интернета вещей. Новые функции для более мощной защиты ESET Folder Guard обеспечивает защиту ценных данных пользователей Windows от вредоносных программ и угроз, таких как программы-вымогатели, черви и программы для уничтожения данных. Пользователи могут создать список защищенных папок, файлы которых не могут быть изменены или удалены ненадежными программами. Следует отметить, что новая функция доступна только в премиум-подписке ESET HOME Security Premium. Многопотоковое сканирование улучшает производительность сканирования для многоядерных процессоров, которые используют устройства Windows, путем распределения запросов на сканирование между доступными ядрами ЦП. Потоков сканирования может быть столько, сколько и ядер процессора устройства. Сканер ссылок, доступный в программе ESET Mobile Security, улучшает защиту пользователей мобильных устройств путем блокирования потенциальных атак фишинга с веб-сайтов или доменов из базы данных ESET. Кроме того, это дополнительный уровень защиты для владельцев смартфонов Android, который проверяет каждую ссылку при попытке открытия пользователем. Например, если пользователь получает и открывает фишинговую ссылку в игре, ссылка сначала перенаправляется в программу ESET для проверки, а затем в браузер. Если пользователь использует неподдерживаемый браузер, сканер заблокирует вредоносную ссылку. Важные улучшения существующих функций Обновленная функция «Игровой режим» позволяет пользователям создавать список приложений, после открытия которых запускается игровой режим. Для осторожных игроков также есть новая опция для отображения интерактивных уведомлений при работе игрового режима. Следует отметить, что эта функция предназначена для пользователей, нуждающихся в непрерывном использовании программного обеспечения без всплывающих окон и желают минимизировать использование ресурсов. Функция «Управление паролями» теперь содержит опцию удаленного выхода при входе на других устройствах. Пользователи могут проверить свой пароль со списком взломанных паролей и просмотреть отчет о безопасности, который информирует пользователей об использовании слабых или повторяющихся паролей для сохраненных учетных записей. Управление паролями позволяет использовать программы сторонних разработчиков, такие как дополнительная двухфакторная аутентификация (2FA). Благодаря улучшению защиты устройств Mac, у решений теперь есть новый унифицированный брандмауэр с базовыми и расширенными параметрами настройки в основном графическом интерфейсе в соответствии с различными потребностями пользователей без лишних настроек. Подписки ESET идеально подходят пользователям, которые требуют к базовым функциям безопасности также обеспечить защиту устройств домашней сети и умного дома, безопасность конфиденциальных и личных данных, а также оптимизацию производительности. Подробнее о подписках для домашних пользователей читайте по ссылке. Пресс-выпуск.
    • Ego Dekker
      ESET NOD32 Antivirus 18.0.11  (Windows 10, 32-разрядная)
              ESET NOD32 Antivirus 18.0.11  (Windows 10/11, 64-разрядная)
              ESET Internet Security 18.0.11  (Windows 10, 32-разрядная)
              ESET Internet Security 18.0.11  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 18.0.11  (Windows 10, 32-разрядная)
              ESET Smart Security Premium 18.0.11  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 18.0.11  (Windows 10, 32-разрядная)
              ESET Security Ultimate 18.0.11  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 18  (PDF-файл)
              Руководство пользователя ESET Internet Security 18  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 18  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 18  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 18-й версии полностью (пользователям Windows)?
    • PR55.RP55
      Команда Ctrl+Z не работает ? Пример: Выполнено за 0,753 сек.
      Операция удаления ссылок добавлена в очередь: HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DACBCHKAHFMNDKENEFKCKLOFJMIPGHJJP%26INSTALLSOURCE%3DONDEMAND%26UC
      Операция удаления ссылок добавлена в очередь: HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
      Операция удаления ссылок добавлена в очередь: HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOHEDCGLHBBFDGAOGJHCCLACOCCBAGKJG%26INSTALLSOURCE%3DONDEMAND%26UC
      Операция удаления объекта добавлена в очередь: C:\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE
      Команда #8 отменена.
      Команда #8 отменена.
      Команда #8 отменена.
      Команда #8 отменена.
      --------------------------------------------------------------------------------------------------
      В скрипт добавлена команда: delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DACBCHKAHFMNDKENEFKCKLOFJMIPGHJJP%26INSTALLSOURCE%3DONDEMAND%26UC
      В скрипт добавлена команда: delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
      В скрипт добавлена команда: delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOHEDCGLHBBFDGAOGJHCCLACOCCBAGKJG%26INSTALLSOURCE%3DONDEMAND%26UC
      В скрипт добавлена команда: delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE
      В скрипт добавлена команда: apply
    • Ego Dekker
      ESET Cyber Security 8.2.800  (macOS 11/12/13/14/15)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 8  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
×