GpCode powraca

[ichito]

Przyznam, że przeczytałem artykuł z zainteresowaniem i lekkim niepokojem...oby nie złapać tylko tego dziadostwa. Rzecz dotyczy wirusa GpCode , który według informacji Kaspersky Lab wyszedł z niebytu po 2 latach ciszy. Pozwalam sobie na zacytowanie kilka fragmentów:

" Wirus szantażysta powraca

Kaspersky Lab informuje o wykryciu nowej wersji niesławnego wirusa GpCode, który szyfruje pliki na zainfekowanych komputerach i żąda pieniędzy za przywrócenie zarekwirowanych danych. Szanse na odzyskanie danych zaszyfrowanych przez wirusa są bardzo małe.
Wirus GpCode jest obecny w internecie od 2004 roku. Nowe wersje tego szkodnika pojawiały się regularnie, aż do 2008 roku, kiedy to autor GpCode''a zamilkł. Cisza trwała aż do listopada 2010 r. Najnowsze odkrycia ekspertów z Kaspersky Lab świadczą o jednym - GpCode wrócił i jest groźniejszy niż kiedykolwiek wcześniej .
Infekcje obserwowane od kilku dni są bardzo podobne to tych dokonywanych przez wersję .ak GpCode''a z 2008 roku. - Wirus jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są znikome - mówi Witalij Kamliuk, ekspert z Kaspersky Lab. W praktyce infekcja najnowszą wersją GpCode''a oznacza niemal trwałe usunięcie danych z dysku twardego . W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi. Teraz także robimy wszystko, co w naszej mocy, aby pomóc ofiarom najnowszego wirusa - dodał Kamliuk.
W przeciwieństwie do wcześniejszych wariantów, nowy GpCode nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, które świetnie się sprawdzało w usuwaniu skutków infekcji poprzednich wersji tego wirusa . Wstępna analiza wykazała, że GpCode.ax szyfruje pliki przy użyciu algorytmów RSA-1024 oraz AES-256 . Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu.(...)
Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z poniższym komunikatem:

[Aby zobaczyć linki, zarejestruj się tutaj]

W tym momencie istnieje jeszcze szansa na uratowanie danych. Należy jak najszybciej bez wahania wyłączyć komputer, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej! Kolejną oznaką infekcji jest nagła zmiana pulpitu na poniższy:

[Aby zobaczyć linki, zarejestruj się tutaj]

Informacje o postępach w pracy analityków z Kaspersky Lab, mających na celu opracowanie metody odzyskiwania plików zaszyfrowanych przez najnowszą wersję GpCode''a, będą pojawiały się na blogu dostępnym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab:

[Aby zobaczyć linki, zarejestruj się tutaj]

. Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed najnowszą wersją GpCode''a. Szkodnik ten jest wykrywany jako Trojan-Ransom.Win32.GpCode.ax. "

Całość

[Aby zobaczyć linki, zarejestruj się tutaj]

Na razie na stronie Viruslist.pl ostatnie informacje pochodzą z 2008

[Aby zobaczyć linki, zarejestruj się tutaj]

--------------------------
Edit:
sorry za przeoczenie...jest artykuł aktualny na stronie, ale w dziale "Dziennik analityków"...nie zauważyłem

[Aby zobaczyć linki, zarejestruj się tutaj]

[morphiusz]

Ale masakra. Chamstwo. ....
Jednak jak ktoś to będzie miał to poproszę próbkę

[ichito]

Morphiusz...aleś wygodny

[Pablosss]

Ja też poproszę o próbkę tego cudeńka

[ichito]

Trochę dodatkowych informacji (sorry, ale pozwalam sobie na skopiowanie własnych wypowiedzi z fixitów )
Możliwe sposoby zarażenia
Na MyBroadband.co.za
"Trojan-Ransom.Win32.GpCode.ax spreads via infected sites, exploiting vulnerabilities in Adobe Reader, Java, Quicktime Player, or Adobe Flash. "

[Aby zobaczyć linki, zarejestruj się tutaj]

Na Securelist.com
"The program spreads via malicious websites and P2P networks. "

[Aby zobaczyć linki, zarejestruj się tutaj]

Tu lista aktywności ostatniego wydania trojana - co instaluje, jakich zmian w systemie dokonuje, jaka jest jego dodatkowa aktywność

[Aby zobaczyć linki, zarejestruj się tutaj]

Ponadto kilka nowości wyszukanych dzisiaj w sieci
Podobno MD5 pliku trojana to 4d372a3a6d9055698b9a44e1058443c4

[Aby zobaczyć linki, zarejestruj się tutaj]

Trojan atakuje również MBRi ta odmiana GpCode - Trojan.Win32.Oficla.cw.- żąda 100$ za możliwość odzyskania plików. Odkryto również nową modyfikację pod nazwą Trojan-Ransom.Win32.Seftad . Zaleca się w tym przypadku zastosowanie Kaspersky Virus Removal Tool 2010

[Aby zobaczyć linki, zarejestruj się tutaj]

Sophosrównież informuje o GpCode - u nich wykrywany jest jako Troj/Ransom-U , natomiast zgłoszona odmiana wykryta w plikach PDF nosi nazwę Troj/PDFJS-FL . Krótki cyctat z artykułu:
"Files with the following extensions can be affected: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, and .xlsx. The easiest way to identify files that have been meddled with is that their filenames will have been changed to include the suffix ".ENCODED" .

[Aby zobaczyć linki, zarejestruj się tutaj]

[tommyklab]

Ciężko go znaleźć (Trojan-Ransom.Win32.GpCode.ax), hehehe

[morphiusz]

Poproś Gienka, tyle im wysyłasz, też Ci się coś należy

[Pablosss]

A niby taki grozny

[tommyklab]

MD5 pliku Trojan-Ransom.Win32.GpCode.ax jest 042141f29ca40d1c9954d49a201a60a8 wg SOPHOS''a, możliwe, że są 2, lub więcej wersji, np. jeszcze ten hash co jest wyżej podawany przez @ichito

[Aby zobaczyć linki, zarejestruj się tutaj]

Downloaderem drive-by są/jest jeden z exploitów pdf:

[Aby zobaczyć linki, zarejestruj się tutaj]

Teraz tylko znaleźć te pliki

Edit:

Doszedłem do tego:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

IP prowadzi na Ukrainę:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Plików się nie da ściągnąć, chyba wyłączyli.

[tommyklab]

Ktoś jest w posiadaniu próbki, poza AV:

[Aby zobaczyć linki, zarejestruj się tutaj]

Wiem, że jest kilka MD5 tego samego szkodnika GpCode.ax (możliwe, że modyfikacja tylko pakerem)

Na testowym, chodzę z IE6, flashem 10, javą 16u18, za pierona jak się chce na siłę zainfekować to nie da rady Exploity na tej ukraińskiej stronie już nie działają.

Gościowi z forum kaspra wszedł ten gpcode.ax na Win7. Mówił, że sciągnął aktualizacje do Win7, oglądnął jakiś film (prawdopodobnie z sieci) i wyłączył kompa. Rano kompa odpalił i miał mnóstwo plików .ENCODED. Atakuje wszystkie pliki z danymi:

Files with the following extensions can be affected: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, and .xlsx. The easiest way to identify files that have been meddled with is that their filenames will have been changed to include the suffix ".ENCODED".

bardzo silnym szyfrem RSA-1024.

A mówiłem, że ransomy są prze k....

Bądźcie czujni, ktoś wam może via facebook, e-mail, albo komunikator ten pliczek podesłać.Zawsze skanujcie podejrzane pliki na

[Aby zobaczyć linki, zarejestruj się tutaj]

Pisałem nawet do autora tego wirusa, ale jego email jest już zdjęty... Trzeba czekać, podobno kaspersky się z nim kontaktuje via real

Nowy GPCode.ak (First seen: 2010-11-29):

[Aby zobaczyć linki, zarejestruj się tutaj]

[tommyklab]

Coś ucichła sprawa z tym GpCode

---

26.03.2011. GPCode znowu się pojawia w nowej wersji:

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

No masz...aleś Tommy wykrakał Wczoraj (28.03) opis nowej postaci GpCode pojawił się na Viruslist pl
- występuje teraz pod nazwą Trojan-Ransom.Win32.Gpcode.bn
- infekcja następuje przez odwiedziny spreparowanej strony internetowej (atak drive by download )
- najpierw generuje 256-bitowy klucz AES i następnie szyfruje go przy użyciu publicznego 1024-bitowego klucza RSA
- klucz następnie jest umieszczony w pliku tekstowym umiejscowionym na pulpicie zarażonego komputera z treścią szantażu
- ostrzeżenia i ekrany podobne jak w wersji poprzedniej, niemniej cena za odzyskanie danych wzrosła do 125 dolarów
- nastąpiła również zmiana sposobu zapłaty...wcześniej miał być to przelew na konto, teraz żąda zapłaty za pośrednictwem kart pre-paid Ukash
- efekt infekcji...
"Szkodnik skanuje dyski twarde w poszukiwaniu plików do zaszyfrowania. Wewnątrz zaszyfrowanego pliku konfiguracyjnego zostały wskazane rozszerzenia plików, na podstawie których dokonywany jest wybór plików do zaszyfrowania. To oznacza, że GPCode może zostać łatwo uaktualniony o nowy plik konfiguracyjny . Plik konfiguracyjny zawiera również list z szantażem oraz publiczny 1024-bitowy klucz RSA.(...)
Chociaż twórca szkodnika twierdzi, że pliki zostaną skasowane po N dniach, bezpieczniej jest zamknąć komputer lub uruchomić go ponownie – nie znaleźliśmy żadnego dowodu istnienia mechanizmu kasowania plików po określonym czasie .
Informacja źródłowa

[Aby zobaczyć linki, zarejestruj się tutaj]

[polak900]

fajny badziew, ciekawe jak tam najlepsze programy zabezpieczające mają się do tego

[Piotrex44]

no przydało by się potestować jak się mają programy av do tego cudeńka..

[tommyklab]

No co nieco się wyjaśniło, dlaczego trudno go było pozyskać odwiedzając już niedziałające linki:

Powrót trojana-szantażysty

Pod koniec pierwszego kwartału pojawił się nowy wariant niebezpiecznego trojana-szantażysty GpCode. Program ten szyfruje dane na zainfekowanych komputerach, a następnie żąda od właściciela okupu. W przeciwieństwie do wcześniejszych wariantów, które usuwały zaszyfrowane pliki, nowe wersje GpCode nadpisują pliki zaszyfrowanymi danymi, przez co są one prawie niemożliwe do odzyskania. Co ciekawe, cyberprzestępcy atakowali tylko użytkowników z Europy i republik byłego Związku Radzieckiego, a akcja trwała jedynie kilka godzin. To sugeruje, że autor tego trojana nie chciał wywołać masowej infekcji, która z pewnością zwróciłaby uwagę organów ścigania. Przyszłe ataki trojana szyfrującego prawdopodobnie również będą miały charakter ukierunkowany.
Żródło: Kaspersky Lab

Próbka dostarczona na VT 2011-03-07 - Trojan-Ransom.Win32.Gpcode.bj-

[Aby zobaczyć linki, zarejestruj się tutaj]

Jest jeszcze trochę nowsza - Trojan-Ransom.Win32.Gpcode.bn- artykuł z 25.03.2011:

[Aby zobaczyć linki, zarejestruj się tutaj]

i na VT w tym samym dniu:

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Wystarczyło i parę godzin, żeby narobić sporego zamieszania

[tommyklab]

Trojan-Ransom.Win32.Gpcode. bn- dwucyfrowa sekwencja na końcu (jedna sekwencja to ciąg od a-z, czyli 26 liter (Roman letters used in mathematics - Latin letters used in mathematics).

Rodzaje:
a-z- 26 kombinacji, a jak się skończy to
aa-zz- 26wcześniejsze+(26*26)=702 kombinacji, a jak się skończy to
aaa-zzz- 702wcześniejsze+(26*26*26)=18278 kombinacji, a jak się skończy to
aaaa-zzzz- 18278wcześniejsze+(26*26*26*26)=475254 kombinacje, a jak się skończy to pewnie 5 cyfrowe aaaaa-zzzzz (jeszcze takiego nie ma )

Czyli w tym GpCode. bn :
- jedna sekwencja - 26 rodzajów plików (od a-z)
- dochodzi druga sekwencja z a na początku - 26+26(od aa-az)=52 plików
- dochodzi druga sekwencja z b na początku i kończy się na n - 52+13(od ba-bn)= 65 plików

Kilka godzin i ok. 65 wariantów GpCode krążyły w sieci

Ktoś mnie poprawi, czy dobrze to liczę?

[tachion]

he niezle dziadostwo to GpCode i sprytnie pomyslane nie ma gdzies tego szczepu do obadania

[tommyklab]

Szczepu ostatniego bn nie mam, ale bj mam, to tylko 4 kompilacje wcześniej to są te świństwa z szyfrowaniem 1024-RSA - 256-AES nie do wyleczenia na dzień dzisiejszy oczywiście bez kodu odpowiedniego, który zna "właściciel"
ak też mam, ale jego można wyleczyć przez photorec

od ax kompilacji mają to silniejsze szyfrowanie

Nie wiem, coś się andrzej67 zapowietrzył, bo by przetestował, np. na tylko HIPS progsach jak działa GpCode, ten bj, co o tym myślicie? (nie chcę być uznany za jednostronność, to niech np. andrzej sprawdzi).

[Eru]

przetestował, np. na tylko HIPS progsach jak działa GpCode, ten bj, co o tym myślicie?

Dobry pomysł - możesz podesłać ten wariant może zrobię takowy test