Powrót groźnego wirusa Gpcode

Firma Kaspersky Lab poinformowała o powrocie nowej, znacznie bardziej niebezpiecznej, niż poprzednie, wersji wirusa Virus.Win32.Gpcode.ak.

Wirus zagraża m.in.. plikom o rozszerzeniach: .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h - czyli plikom, które każdy posiada na dysku. Szyfruje je algorytmem RSA z kluczem o długości 1024 bitów. Dotychczas specjalistom z Kaspersky Lab nie udało się odszyfrować plików zaatakowanych przez wirusa, zatem na razie jedynym sposobem na odzyskanie danych jest użycie klucza, którym dysponuje autor wirusa.

Gpcode dodaje do zaszyfrowanych przez siebie plików rozszerzenie ._CRYPT i umieszcza plik !_READ_ME_!.txt w każdym folderze zawierającym zaszyfrowane obiekty. W pliku tekstowym można przeczytać następującą wiadomość: Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: *****@yahoo.com (Twój plik został zaszyfrowany przy użyciu 1024-bitowego algorytmu RSA. W celu odzyskania swoich plików musisz kupić nasz program deszyfrujący. W celu dokonania zakupu skontaktuj się z nami pod adresem: *****@yahoo.com).

Specjaliści z Kaspersky Lab zalecają w takiej sytuacji natychmiastowy kontakt z nimi poprzez adres pomoc@kaspersky.pl, podając w treści maila datę infekcji oraz opis wszystkich czynności wykonywanych na pięć minut przed infekcją, w tym listę odwiedzanych stron www oraz uruchamianych programów. Obiecują, że dołożą wszelkich starań, aby pomóc odzyskać zaszyfrowane dane.

Trwają prace nad znalezieniem sposobu na odszyfrowanie plików bez użycia kodu znajdującego się w posiadaniu autora wirusa. Warto nadmienić, że specjaliści z Kaspersky Lab poskromili poprzednie wersje Gpcode'a, łamiąc nawet 660-bitowy klucz. Udało się to w dość krótkim czasie z tego względu, iż autor popełnił błąd i niepoprawnie zaimplementował klucz RSA. Nowa, "ulepszona" wersja wirusa znalazła się w sieci po dwóch latach.

Poniżej screen z efektami działań wirusa: