Trojan-Ransom.Win32.GpCode или его более свежая разработка - Вирусология - Delphi - Каталог статей - Вирусология, взгляд из Delphi
Четверг, 08.12.2016, 01:13 Приветствую вас Гость | Группа "Гости" 


Меню сайта

Категории раздела
Вирусология [39]
Статьи о вирусах
Системные [0]
Работа с системой
Примеры [44]
Приёмы, функции, процедуры
Ceти [1]
Работа с интернет
Приколы [5]
Пишем шуточные програмки
Остальное [5]
Всё что не вошло

Администрация
000000 dolphin

Помощь проекту

R106276538945
Z160640024212

Яндекс деньги
410011190732605

Недавние темы

Опрос
Какой версией Delphi пользуетесь?
Всего ответов: 785

Главная » Статьи » Delphi » Вирусология

Trojan-Ransom.Win32.GpCode или его более свежая разработка
Quote
Здравствуйте. Установлен KIS2012 с последними базами. При включении компьютера из автозагрузки загрузился файл: HOW TO DECRYPT FILES.txt с текстом:

"
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

====================================================================
Odgh447DRMAQUaP8i2t6R0paHu02X73
====================================================================

"

Все файлы стали иметь расширение: *.ENC и насколько я понял стали зашифрованы. Очень прошу помочь.


Для шифрования файлов вирус использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA (длиной 1024 бит), содержащимся в теле вируса.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

Вирус создает зашифрованную копию файла, имеющую оригинальное имя файла и расширение к которому добавляется _CRYPT. Пример:

первоначальный файл: WaterLilles.jpg

зашифрованный файл: WaterLilles.jpg._CRYPT

Затем первоначальный файл удаляется.

В каждый каталог, файлы которого были зашифрованы, вредоносная программа помещает файл «!_READ_ME_!.txt» следующего содержания:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [censored]@yahoo.com

=== BEGIN ===
[key]
=== END ===
Файлы, находящиеся в каталоге Program Files шифрованию не подвергаются. Также вирус не шифрует файлы:

имеющие аттрибуты «системный» и «скрытый»; имеющие размер меньше 10 байт; имеющие размер больше 734003200

В ходе своей работы вирус не регистрирует себя в системном реестре.

По окончанию работы вирус создает VBS-файл, который удаляет основное тело вируса с компьютера.

Также известен как: Troj / Ransom-U [Sophos], GPcoder.j [McAfee], Trojan-Ransom.Win32.Gpcode.ax [Kaspersky]Длина:10752 байт
Системы, подверженные уязвимости: Windows 2000, Windows Server 2003, Windows Vista, Windows XP
Trojan.Gpcoder.G это троянский конь, который шифрует файлы на зараженном компьютере, а затем предлагает пользователю приобрести пароль, чтобы расшифровать их.(такое письмо есть выше этого текста)

При запуске троянец ищет зараженном компьютере файлы со следующими расширениями:
.1cd
.3gp
.avi
.bmp
.cdr
.cer
.dbf
.doc
.doc
.docx
.docx
.dwg
.flv
.ifo
.jpeg
.jpg
.kwm
.lnk
.m2v
.max
.md
.mdb
.mdb
.mdf
.mov
.mp3
.mpeg
.mpg
.odt
.p12
.pdf
.pfx
.ppt
.pptx
.psd
.pwm
.rar
.txt
.vob
.xls
.xls
.xlsx
.xlsx
.zip

Троянец добавляет расширение .ENCODED(.ENC) к имени зашифрованного файла

Ключ шифрования располагает в %UserProfile%\Desktop\HOW TO DECRYPT FILES.txt

«Лаборатория Касперского» предупреждает о появлении в интернете новой версии вредоносной программы-шифровальщика Gpcode.

Программа распространяется через вредоносные веб-сайты и посредством P2P-сетей.

Антивирусные продукты «Лаборатории Касперского» детектируют программу под названием Trojan-Ransom.Win32.Gpcode.ax.
Категория: Вирусология | Добавил: GReIIIHuK (09.10.2012)
Просмотров: 4424 | Комментарии: 2 | Рейтинг: 5.0/3

Всего комментариев: 2
avatar
1
у меня исходник этого троя есть)
Ответ: Значит тебе повезло его найти, если это конечно правда
avatar
2
кто то писал про Open Source, да, действительно, он в паблике лежит, но он шифрует алгоритмом XOR если не ошибаюсь... да и сыр он очень)
avatar
Профиль


Логин:
Пароль:

Поиск

Наша кнопка

Вирусология, взгляд из Delphi



Статистика
HSDN :: Рейтинг сайтов WOlist.ru - каталог качественных сайтов Рунета Яндекс.Метрика Счетчик тИЦ и PR
Статистика материалов
Файлов: 364
Форум: 1128/7979
Коментариев: 759
Новостей: 27

Статистика пользователей
Всего: 411
За неделю: 2
Вчера: 0
Сегодня: 0
Всего онлайн: 1
Гостей: 1
Пользователей: 0

delfcode.ru © 2008 - 2016 Хостинг от uCoz