PGPCoder
| Gp-код | |
|---|---|
| Техническое название |
|
| Классификация | Троян |
PGPCoder или GPCode — это троян , который шифрует файлы на зараженном компьютере, а затем просит выкуп за освобождение этих файлов. Такое поведение получило название программ-вымогателей или криптовирусологии .
Троян
[ редактировать ]После установки на компьютер троян создает два ключа реестра: один для обеспечения его запуска при каждом запуске системы, а второй для отслеживания хода работы трояна на зараженном компьютере, подсчета количества файлов, проанализированных трояном. вредоносный код.
После запуска троян приступает к своей миссии, заключающейся в шифровании с помощью цифрового ключа шифрования всех найденных им на дисках компьютеров файлов с расширениями, соответствующими указанным в его коде. К этим расширениям относятся .doc, .html, .jpg, .xls, .zip и .rar.
Шантаж завершается тем, что троян помещает в каждый каталог текстовый файл с инструкциями жертве, что делать. Предоставляется адрес электронной почты, по которому пользователи должны запросить выдачу своих файлов после уплаты выкупа в размере 100–200 долларов США на счет e-gold или Liberty Reserve . [ 1 ]
Усилия по борьбе с трояном
[ редактировать ]Хотя несколько вариантов Gpcode были успешно реализованы, [ 2 ] многие варианты имеют недостатки, которые позволяют пользователям восстанавливать данные, не платя выкуп. Первые версии Gpcode использовали специально написанную процедуру шифрования, которую было легко взломать. [ 3 ] Вариант Gpcode.ak записывает зашифрованный файл в новое место и удаляет незашифрованный файл, что позволяет утилите восстановления восстановить некоторые файлы. несколько пар зашифрованных и незашифрованных , это иногда дает достаточно информации для расшифровки других файлов. Если найдено [ 4 ] [ 5 ] [ 6 ] Вариант Gpcode.am использует симметричное шифрование , что значительно упрощает восстановление ключей. [ 7 ] В конце ноября 2010 года вышла новая версия под названием Gpcode.ax. [ 8 ] было сообщено. Он использует более сильное шифрование (RSA-1024 и AES-256) и физически перезаписывает зашифрованный файл, что делает восстановление практически невозможным. [ 9 ]
«Лаборатории Касперского» удалось связаться с автором программы и убедиться, что это лицо является настоящим автором, но до сих пор не удалось определить его реальную личность. [ 10 ]
Ссылки
[ редактировать ]- ^ Эран Тромер. «Криптоанализ вируса-вымогателя Gpcode.ak» (PDF) . Проверено 30 сентября 2008 г.
- ^ «Лаборатория Касперского объявляет о запуске Stop Gpcode — международной инициативы против вируса-шантажиста» . 9 июня 2008 г.
- ^ «Шантажист: история Gpcode» . Лаборатория Касперского. 26 июля 2006 г.
- ^ "Утилиты для борьбы с Virus.Win32.Gpcode.ak" . Лаборатория Касперского. 25 июня 2008 г.
- ^ «Восстановление файлов, атакованных Gpcode.ak» . Лаборатория Касперского. 13 июня 2008 г. Архивировано из оригинала 13 июля 2009 г. Проверено 30 сентября 2008 г.
- ^ «Еще один способ восстановления файлов после атаки Gpcode» . 26 июня 2008 г. Архивировано из оригинала 9 февраля 2013 г.
- ^ «Новый Gpcode — в основном болтовня» . Лаборатория Касперского. 14 августа 2008 г. Архивировано из оригинала 18 сентября 2012 г.
- ^ «Простой анализ GpCode Ransomware 2010» . Ксилибокс. 30 января 2011 г.
- ^ «Программа-вымогатель, похожая на GpCode, возвращается» . Лаборатория Касперского. 29 ноября 2010 г.
- ^ «Полиция «нашла» автора пресловутого вируса» . ТехМир. 30 сентября 2008 г.
Внешние ссылки
[ редактировать ]- Лаборатория Касперского
- Другие базы данных описаний вирусов