Kaspersky ostrzega przed powrotem niesławnego wirusa GpCode, którego działanie polega na szyfrowaniu plików na dysku ofiary, za, których przywrócenie żąda pieniędzy.

Niestety, szanse na odzyskanie danych zaszyfrowanych przez najnowszą wersję GpCode'a są na prawdę znikome. Sam GpCode jest znany mniej więcej od 2004 roku. Od tamtego czasu, pojawiało się regularnie wiele jego odmian. Tak się działo aż do roku 2008 roku, kiedy to nagle wirus zniknął, aby powrócić w listopadzie 2010 roku. Po krótkiej przerwie, autor szkodnika wydał jego zaktualizowaną wersję.

Do infekcji dochodzi poprzez odwiedzenie szkodliwej strony WWW. Mechanizm działania wirusa jest następujący. Przy pomocy mechanizmów Windowsa generuje on 256 bitowy klucz AES, który następnie szyfruje 1024 bitowym kluczem publicznym RSA. Tak zaszyfrowany klucz umieszcza na pulpicie w pliku tekstowym. Znajduje się tam także treść szantażu. Wewnątrz specjalnie zaszyfrowanego pliku konfiguracyjnego znajdują się także informacje co będzie szyfrowane. A zatem działanie wirusa można łatwo konfigurować.

Tym razem przestępca nie chce już przelewu na konto. Teraz zapłata ma się odbywać poprzez kartę pre-paid. Żąda on tym razem już nie 120 dolarów, a 125.

Pierwszym objawem zakażenia jest następujące ostrzeżenie w pliku tekstowym:


W tym momencie jeszcze istnieje możliwość uratowania danych, o ile natychmiastowo wyłączymy komputer, nawet wyciągając wtyczkę z kontaktu. Jeśli wirus zmieni tapetę oznaczać to będzie, że dane są już szyfrowane. Po wyłączeniu komputera należy podłączyć dysk do zdrowego komputera z innym systemem i przeskanować komputer w poszukiwaniu tego wirusa. Rozpoznawany jest on jako Trojan-Ransom.Win32.GpCode.bn.

Źródło: Informacja prasowa Kaspersky