«Лабараторыя Касперскага» выявіла новы варыянт праграмы-вымагальніка Gpcode у выглядзе абфусцыраванага выкананага файла. Пасля выканання новая версія GPCode генеруе 256-бітавы ключ для алгарытму шыфравання AES, выкарыстаючы Windows Crypto API, і шыфруе яго з дапамогай публічнага RSA 1024 ключа кіберзлачынцы. Зашыфраваны вынік будзе скінуты на працоўны стол заражанага кампутара ўсярэдзіне тэкставага файла з патрабаваннем выкупу. Нагадаем, што першы варыянт GPCode быў выяўлены ў лістападзе 2010 гады.
Важна заўважыць, што ў адрозненне ад узору лістапада мінулага гады, праграма патрабуе адправіць выкуп плацяжом пры дапамозе прадаплочаных карт Ukash. "24 марта мы выявілі ransomware-праграму, якая маскіравалася пад паведамленне ад паліцыі ФРГ — гэты вымагальнік таксама патрабаваў правесці плацёж картай Ukash. Падобна, кіберзлачынцы сыходзяць ад старых добрых грашовых перакладаў, аддаючы перавагу плацяжы прадаплочанымі картамі. Сума выкупу з лістапада павялічылася з 120 да 125 даляраў", - кажа антывірусны аналітык «Лабараторыі Касперскага» Нікалас Брулес. У той жа час змяняецца фон працоўнага стала — ён паведамляе карыстачу, што кампутар заражаны і трэба заплаціць выкуп. Цвёрдыя кружэлкі кампутара скануюцца ў пошуках файлаў для шыфравання. Рашэнне аб тым, якія файлы зашыфраваць, а якія пакінуць, прымаецца па іх пашырэнню — у зашыфраваным канфігурацыйным файле паказаныя ўсё пашырэнні файлаў, якія павінны быць зашыфраваныя. Гэта азначае, што канфігурацыйны файл GPCode можна лёгка абнавіць. Гэты файл уключае тэкст паведамлення з патрабаваннем выкупу, а таксама публічны 1024-бітавы RSA-код ад злачынцаў. Узор, выяўлены ў лістападзе 2010, быў спакаваны пры дапамозе UPX. У сённяшнім узоры таксама выкарыстоўваецца UPX, але не самастойна. Фактычна кіберзлачынцы выкарыстаюць уласную абарону файла , каб ускладніць яго аналіз і зваротны інжынірынг. Вось як выглядае кропка ўваходу ў запакаваным выглядзе: Для абароны дадзенай праграмы-вымагальніка выкарыстоўваецца абфускацыя і стандартныя прыёмы, сустракаемыя ў сучасных шкоднасных пакавальніках. Пасля распакавання ўзор апыняецца вельмі падобным на лістападаўскі. У рэсурсавую секцыю файла ўкаранёны зашыфраваны файл канфігурацыі. "Калі вы падазраеце, што заразіліся, мы рэкамендуем нічога не змяняць у сістэме — гэта можа перашкодзіць аднавіць дадзеныя ў выпадку, калі мы знойдзем рашэнне. Бяспечна выключэнне або перазапуск кампутара. Заявы аўтара шкоднаснай праграмы аб тым, што файлы выдаляюцца пасля N дзён, можна ігнараваць — мы не бачылі якія-небудзь сведчанняў таго, што існуе часавы механізм выдалення файлаў. Тым не менш, лепш за ўсё ўстрымацца ад любых змен у файлавай сістэме, уключаючы тыя, што могуць быць выкліканыя перазапускам кампутара", - кажа Брулес. "Карыстачы павінны шляхта аб дадзенай праграме-вымагальніку і быць гатовыя распазнаць яго з першай жа секунды, калі на экране адлюстроўваецца паведамленне зловреда. Націснуўшы кнопку перазапуску або выключэнні, вы можаце захаваць значную частку вашых дадзеных. Не марудзячы, выключыце кампутар; выдзярыце шнур з разеткі, калі да яго бліжэй", - кажа Брулес. Зашыфраваныя файлы аднавіць не атрымаецца — для шыфравання выкарыстоўваецца магутны криптоалгоритм. Адзіны спосаб аднавіць файлы — гэта выкарыстаць рэзервовыя копіі.
рэкамендуем прачытаць таксама
- “Лабараторыя Касперскага” выступіла з ініцыятывай Stop Gpcode
- “Лабараторыя Касперскага” паведаміла аб магчымасці ўзнаўлення файлаў пасля нападу віруса Gpcode.ak
- ЛК: Новая разнавіднасць траяна Gpcode апынулася неопасной
- Патч у 13 радкоў павялічвае прадукцыйнасць 3D на чыпе Intel Sandy Bridge у некалькі разоў
- Брус Шнайер: Што паляць у Касперскага?