Skocz do zawartości
ichito

Trojan GpCode - "reaktywacja"

Rekomendowane odpowiedzi

Nie wiem, czy to temat na "RR", ale jakoś nie bardzo gdzie miałem go włożyć...Kaspersky Lab poinformował, że otrzymał zgłoszenia od użytkowników o pojawieniu się odrodzonej wersji słynnego jeszcze 2 lata temu trojana GpCode. Trojan ten to istna "wredota", a jego nowa odmiana szykuje jeszcze więcej niespodzianek...trojan stał się jeszcze bardziej "przebiegły", a skutki jego działania jak na razie nie są do odwrócenia. Kilka obszernych cytatów z artykułu:

 

"GpCode został po raz pierwszy wykryty w 2004 roku, następnie, aż do 2008 r. pojawiał się prawie co roku. Od tego czasu jego autor ucichł. Kilku naśladowców stworzyło imitacje GpCode’a, jednak w większości były to zwykłe strachy na lachy, a nie rzeczywiste zagrożenia, ponieważ nie wykorzystywały mocnych algorytmów szyfrowania.

Jak już wspominaliśmy wcześniej, ten typ szkodliwego oprogramowania jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są niewielkie. W praktyce oznacza to niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi.

GpCode powrócił, silniejszy niż wcześniej. W przeciwieństwie do wcześniejszych wariantów nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, takiego jak PhotoRec, które zaproponowaliśmy podczas ostatniego ataku.

Wstępna analiza wykazała, że jako algorytmów szyfrowania użyto RSA-1024 i AES-256. Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu.

Szkodnik jest wykrywany przez Kaspersky Lab jako Trojan-Ransom.Win32.GpCode.ax."

 

Jeśli więc dostaniecie na ekranie monitora takie okienko notatnika - konieczne jest natychmiastowe wyłączenie komputera...jeśli szybciej jest wyjąć wtyczkę z kontaktu, trzeba to zrobić!

 

334.png

 

Drugim objawem infekcji jest podmiana tapety na ekranie na taki komunikat

 

335.png

 

Kaspersky Lab zapowiada kolejne komunikaty w sprawie

Źródło http://www.viruslist.pl/weblog.html

Edytowane przez picasso
Takie tematy śmiało w "Oprogramowaniu zabezpieczającym". Formuła działu dopuszcza alerty o nowym zagrożeniu i dyskusję na ten temat. Przenoszę. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wiadomo jakie jeszcze antywirusy wykrywają tego trojana i czy inne aplikacje zabezpieczające (hipsy, piaskownice, wirtualizery) radzą sobie z nim?

W jaki sposób można zainfekować kompa tym wirusem?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czytałem o tym parę dni temu na blogu Kasperskyego. Tak Jurek wykrywają bo to podstawowe znane zagrożenie. To jakby Confickera nie wykrywały Av. a wykrywają. Potestowałbym te zagrożenie , tylko skąd próbkę skołować? :D Choć od razu trzeba go pewnie do piaskownicy zapakować z poziomu przeglądarki bo pewnie działa jako samo zapłon :D Co do infekcji , nie wiadomo, nie napisali, choć wspomnieli jak jakieś nowe rzeczy odkryją o tym szkodniku to dopiszą :) Bardzo możliwe,że infekcja jest możliwa , jak tylko wejdziemy na zainfekowaną stronę bez ściągania niczego. W końcu to wyrafinowany szkodnik , popatrz jakie ma szyfrowanie , koleś się postarał więc raczej w sposób złapania infekcji powinien być również oryginalny :P

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Na MyBroadband.co.za

"Trojan-Ransom.Win32.GpCode.ax spreads via infected sites, exploiting vulnerabilities in Adobe Reader, Java, Quicktime Player, or Adobe Flash."

http://mybroadband.c...s-Internet.html

Na Securelist.com

"The program spreads via malicious websites and P2P networks."

http://www.securelis...ertid=203996092

Tu lista aktywności ostatniego wydania trojana - co instaluje, jakich zmian w systemie dokonuje, jaka jest jego dodatkowa aktywność

http://www.securelis...Win32.Gpcode.ax

---------------------

edit:

kilka nowych informacji wyszperanych w sieci:

Podobno MD5 pliku trojana to 4d372a3a6d9055698b9a44e1058443c4

http://www.offensive...et/?q=node/1677

Trojan atakuje również MBR i ta odmiana GpCode - Trojan.Win32.Oficla.cw. - żąda 100$ za możliwość odzyskania plików. Odkryto również nową modyfikację pod nazwą Trojan-Ransom.Win32.Seftad. Zaleca się w tym przypadku zastosowanie Kaspersky Virus Removal Tool 2010

http://www.securelis..._MBR_Ransomware

Sophos również informuje o GpCode - u nich wykrywany jest jako Troj/Ransom-U, natomiast zgłoszona odmiana wykryta w plikach PDF nosi nazwę Troj/PDFJS-FL. Krótki cyctat z artykułu:

"Files with the following extensions can be affected: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, and .xlsx. The easiest way to identify files that have been meddled with is that their filenames will have been changed to include the suffix ".ENCODED".

http://nakedsecurity...ck-demands-120/

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czyli standard, exploity wykorzystujące luki w produktach adobe, javie. W sumie produkty firmy Adobe strasznie ostatnio dziurawe są, bardzo dużo luk jest wykrywanych no i infekcje na stronach czyli dobrze przeczuwałem :D Może na MDL będzie ten szkodnik :P

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...