PGPCoder - PGPCoder
Распространенное имя | Gpcode |
---|---|
Техническое название |
|
Классификация | Троян |
Изоляция | 2005-05-20 |
PGPCoder или же GPCode это троян который шифрует файлы на зараженном компьютере, а затем запрашивает выкуп за освобождение этих файлов - тип поведения, получивший название программа-вымогатель или же криптовирология.
Троян
После установки на компьютер троян создает два раздела реестра: один для обеспечения его запуска при каждом запуске системы, а второй для отслеживания прогресса трояна на зараженном компьютере, подсчитывая количество файлов, которые были проанализированы программой. вредоносный код.
После запуска троян приступает к выполнению своей миссии, заключающейся в шифровании с помощью цифрового ключа шифрования всех файлов, которые он находит на дисках компьютера, с расширениями, соответствующими тем, которые указаны в его коде. Эти расширения включают .doc, .html, .jpg, .xls, .zip и .rar.
Шантаж завершается тем, что троян помещает в каждый каталог текстовый файл с инструкциями для жертвы, что делать. Предоставляется адрес электронной почты, через который пользователи должны запрашивать выпуск своих файлов после уплаты выкупа в размере 100–200 долларов США. электронное золото или же свободный резерв учетная запись.[1]
Усилия по борьбе с трояном
Хотя несколько вариантов Gpcode были успешно реализованы,[2] во многих вариантах есть недостатки, которые позволяют пользователям восстанавливать данные без уплаты выкупа. Первые версии Gpcode использовали специально написанную процедуру шифрования, которую легко взломать.[3] Вариант Gpcode.ak записывает зашифрованный файл в новое место и удаляет незашифрованный файл, что позволяет утилита восстановления чтобы восстановить некоторые файлы. Когда-то некоторые зашифрованные + незашифрованные пары были обнаружены, иногда это дает достаточно информации для расшифровки других файлов.[4][5][6] Вариант Gpcode.am использует симметричное шифрование, что упростило восстановление ключей.[7]В конце ноября 2010 года вышла новая версия под названием Gpcode.ax.[8] Сообщалось. Он использует более надежное шифрование (RSA-1024 и AES-256) и физически перезаписывает зашифрованный файл, что делает восстановление практически невозможным.[9]
Лаборатория Касперского смог установить контакт с автором программы и проверить, является ли человек настоящим автором, но до сих пор не смог определить его реальную личность.[10]
Рекомендации
- ^ Эран Тромер. «Криптоанализ вируса-вымогателя Gpcode.ak» (PDF). Получено 2008-09-30.
- ^ «Лаборатория Касперского объявляет о запуске Stop Gpcode, международной инициативы по борьбе с вирусом-шантажистом». 2008-06-09.
- ^ «Шантажист: история Gpcode». Лаборатория Касперского. 2006-07-26.
- ^ "Утилиты для борьбы с Virus.Win32.Gpcode.ak". Лаборатория Касперского. 2008-06-25.
- ^ «Восстановление файлов, атакованных Gpcode.ak». Лаборатория Касперского. 2008-06-13. Архивировано из оригинал на 2009-07-13. Получено 2008-09-30.
- ^ «Другой способ восстановления файлов после атаки Gpcode». 26 июня 2008 г. Архивировано из оригинал на 09.02.2013.
- ^ «Новый Gpcode - в основном горячий воздух». Лаборатория Касперского. 2008-08-14. Архивировано из оригинал 18 сентября 2012 г.
- ^ "Простой анализ GpCode Ransomware 2010". Xylibox. 2011-01-30.
- ^ «Программа-вымогатель, похожая на GpCode, возвращается». Лаборатория Касперского. 2010-11-29.
- ^ «Полиция« нашла »автора печально известного вируса». TechWorld. 30 сентября 2008 г.
внешняя ссылка
- Лаборатория Касперского
- Другие базы описаний вирусов