PGPCoder - PGPCoder

Trojan.PGPCoder

Распространенное имя	Gpcode
Техническое название	Trojan.PGPCoder, Virus.Win32.Gpcode, TROJ_PGPCODER. [Письмо] (Trend Micro )
Классификация	Троян
Изоляция	2005-05-20

PGPCoder или же GPCode это троян который шифрует файлы на зараженном компьютере, а затем запрашивает выкуп за освобождение этих файлов - тип поведения, получивший название программа-вымогатель или же криптовирология.

Троян

После установки на компьютер троян создает два раздела реестра: один для обеспечения его запуска при каждом запуске системы, а второй для отслеживания прогресса трояна на зараженном компьютере, подсчитывая количество файлов, которые были проанализированы программой. вредоносный код.

После запуска троян приступает к выполнению своей миссии, заключающейся в шифровании с помощью цифрового ключа шифрования всех файлов, которые он находит на дисках компьютера, с расширениями, соответствующими тем, которые указаны в его коде. Эти расширения включают .doc, .html, .jpg, .xls, .zip и .rar.

Шантаж завершается тем, что троян помещает в каждый каталог текстовый файл с инструкциями для жертвы, что делать. Предоставляется адрес электронной почты, через который пользователи должны запрашивать выпуск своих файлов после уплаты выкупа в размере 100–200 долларов США. электронное золото или же свободный резерв учетная запись.^[1]

Усилия по борьбе с трояном

Хотя несколько вариантов Gpcode были успешно реализованы,^[2] во многих вариантах есть недостатки, которые позволяют пользователям восстанавливать данные без уплаты выкупа. Первые версии Gpcode использовали специально написанную процедуру шифрования, которую легко взломать.^[3] Вариант Gpcode.ak записывает зашифрованный файл в новое место и удаляет незашифрованный файл, что позволяет утилита восстановления чтобы восстановить некоторые файлы. Когда-то некоторые зашифрованные + незашифрованные пары были обнаружены, иногда это дает достаточно информации для расшифровки других файлов.^[4][5][6] Вариант Gpcode.am использует симметричное шифрование, что упростило восстановление ключей.^[7]В конце ноября 2010 года вышла новая версия под названием Gpcode.ax.^[8] Сообщалось. Он использует более надежное шифрование (RSA-1024 и AES-256) и физически перезаписывает зашифрованный файл, что делает восстановление практически невозможным.^[9]

Лаборатория Касперского смог установить контакт с автором программы и проверить, является ли человек настоящим автором, но до сих пор не смог определить его реальную личность.^[10]

Рекомендации

1. Эран Тромер. «Криптоанализ вируса-вымогателя Gpcode.ak» (PDF). Получено 2008-09-30.
2. «Лаборатория Касперского объявляет о запуске Stop Gpcode, международной инициативы по борьбе с вирусом-шантажистом». 2008-06-09.
3. «Шантажист: история Gpcode». Лаборатория Касперского. 2006-07-26.
4. "Утилиты для борьбы с Virus.Win32.Gpcode.ak". Лаборатория Касперского. 2008-06-25.
5. «Восстановление файлов, атакованных Gpcode.ak». Лаборатория Касперского. 2008-06-13. Архивировано из оригинал на 2009-07-13. Получено 2008-09-30.
6. «Другой способ восстановления файлов после атаки Gpcode». 26 июня 2008 г. Архивировано из оригинал на 09.02.2013.
7. «Новый Gpcode - в основном горячий воздух». Лаборатория Касперского. 2008-08-14. Архивировано из оригинал 18 сентября 2012 г.
8. "Простой анализ GpCode Ransomware 2010". Xylibox. 2011-01-30.
9. «Программа-вымогатель, похожая на GpCode, возвращается». Лаборатория Касперского. 2010-11-29.
10. «Полиция« нашла »автора печально известного вируса». TechWorld. 30 сентября 2008 г.

внешняя ссылка

• Лаборатория Касперского
  • Сообщения в блоге Лаборатории Касперского
  • Форум Лаборатории Касперского, посвященный GPCode
  • Описание вирусов Лаборатории Касперского
  • Утилиты удаления троянов StopGPCode
• Другие базы описаний вирусов
  • F-Secure
  • Symantec
  • McAfee: GPCoder GPCoder.e GPCoder.f GPCoder.g GPCoder.h GPCoder.i
  • Trend Micro: TROJ_PGPCODER.A TROJ_PGPCODER.B TROJ_PGPCODER.C TROJ_PGPCODER.D TROJ_PGPCODER.E TROJ_PGPCODER.F TROJ_PGPCODER.G
  • ThreatExpert