• Луганский информационный портал
• Программы

Gpcode программа вымогатель

Вирусный банк пополнился новыми находками «Лаборатории Касперского». В сети выявлен новый уникальный код программы Gpcode, которую кроме как вымогателем не назвать. Программа попадает в компьютер в зашифрованном виде и в среде Windows так же шифрует по специальному алгоритму с открытым ключом определенные файлы на компьютере жертвы.
Шифрование происходит по Алгоритму AES используя Windows Crypto API. После того как выполняемый файл зашифрует все что в его конфигурационном файле прописано, на окошке рабочего стола появляется файл в котором сообщается о том, что компьютер заражен и файлы такие то зашифрованы и для получения кода для расшифровки необходимо уплатить выкуп Данная версия это уже второе поколение программы «Вымогатель», которая значительно сложнее в изучении чем предыдущая версия, что была найдена на просторах сети в ноябре прошлого года.
Новый код GPCode значительно усовершенствован и киберпреступники приняли новые методы закрытия кода для того чтоб максимум дольше не было возможности его расшифровать. Для шифрования применили свою собственную систему шифрования, а не публичные и всем знакомые системы архивации данных.
Программа «Вымогатель», и ее разработчики тоже страдают от инфляции и поэтому выкуп в новой версии уже не 120 долларов а 125 долларов. Оплата ранее проводилась с поддержкой простых денежных переводов, новая версия принимает только предоплаченные банковские карты Ukash. Лаборатория Касперсого имеет сведения о некоторых вариациях данного продукта и один из них маскируется под послание от полиции ФРГ. Как работает данная шпионская программа? Попав в компьютер она запускается и согласно зашитой в конфиге инфе проводит скан процедуру ПЗУ. Найдя интересующие файлы она их шифрует с теми параметрами которые есть в конфиге. По сути конфигурационный файл можно менять и вся система работает так же как прежде но расшифровать как прежде не удастся потому как публичный код вероятнее всего будет изменен и все будет зашифровано совершенно уникально с индивидуальным подходом.
Обратный инженеринг программы вымогателя затруднен в виду частичного использования упаковочного продукта UPX, не самостоятельно, а совместно с каким то еще. В новой версии применена собственная защита файла от чтения, ведь чем дольше не будет возможности понять механизм данного шпионского средства, тем больший прок от него будет.
Новый образец после распаковки очень похож на предыдущий вариант с которым пользователи встречались в прошлый год. Среди ресурсной части вирус программы вшит файл конфигурации.
Если получилось так, что компьютер заразился такой программой, то вариантов решения два. Выключить систему и подождать пока антивирусные компании не выпустят что то подобное для чтения на лету и восстановления зараженных файлов. Второй же вариант связанный с оплатой, не вариант для решения вопроса, потому как деньги вы можете перевести, а ключ к расшифровке так и не заиметь. Следует все же делать резервное копирование всех данных на компьютере и сохранять их на закрытых от прямого доступа частях ПЗУ. Если вы определили, вовремя что на вашем компьютере есть подобная программа, то лучше максимально в короткие сроки выключить компьютер. А если есть на компьютере вторая операционная система с поддержкой эмуляции WINDOWS, то искать эту программу там и удалять. В принципе вы так спасете оперативно часть данных.