GpCode powraca - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: GpCode powraca (/thread-2466.html) Strony:
1
2
|
GpCode powraca - ichito - 30.11.2010 Przyznam, że przeczytałem artykuł z zainteresowaniem i lekkim niepokojem...oby nie złapać tylko tego dziadostwa. Rzecz dotyczy wirusa GpCode , który według informacji Kaspersky Lab wyszedł z niebytu po 2 latach ciszy. Pozwalam sobie na zacytowanie kilka fragmentów: " Wirus szantażysta powraca Kaspersky Lab informuje o wykryciu nowej wersji niesławnego wirusa GpCode, który szyfruje pliki na zainfekowanych komputerach i żąda pieniędzy za przywrócenie zarekwirowanych danych. Szanse na odzyskanie danych zaszyfrowanych przez wirusa są bardzo małe. Wirus GpCode jest obecny w internecie od 2004 roku. Nowe wersje tego szkodnika pojawiały się regularnie, aż do 2008 roku, kiedy to autor GpCode''a zamilkł. Cisza trwała aż do listopada 2010 r. Najnowsze odkrycia ekspertów z Kaspersky Lab świadczą o jednym - GpCode wrócił i jest groźniejszy niż kiedykolwiek wcześniej . Infekcje obserwowane od kilku dni są bardzo podobne to tych dokonywanych przez wersję .ak GpCode''a z 2008 roku. - Wirus jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są znikome - mówi Witalij Kamliuk, ekspert z Kaspersky Lab. W praktyce infekcja najnowszą wersją GpCode''a oznacza niemal trwałe usunięcie danych z dysku twardego . W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi. Teraz także robimy wszystko, co w naszej mocy, aby pomóc ofiarom najnowszego wirusa - dodał Kamliuk. W przeciwieństwie do wcześniejszych wariantów, nowy GpCode nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, które świetnie się sprawdzało w usuwaniu skutków infekcji poprzednich wersji tego wirusa . Wstępna analiza wykazała, że GpCode.ax szyfruje pliki przy użyciu algorytmów RSA-1024 oraz AES-256 . Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu.(...) Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z poniższym komunikatem: [Aby zobaczyć linki, zarejestruj się tutaj] W tym momencie istnieje jeszcze szansa na uratowanie danych. Należy jak najszybciej bez wahania wyłączyć komputer, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej! Kolejną oznaką infekcji jest nagła zmiana pulpitu na poniższy: [Aby zobaczyć linki, zarejestruj się tutaj] Informacje o postępach w pracy analityków z Kaspersky Lab, mających na celu opracowanie metody odzyskiwania plików zaszyfrowanych przez najnowszą wersję GpCode''a, będą pojawiały się na blogu dostępnym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: [Aby zobaczyć linki, zarejestruj się tutaj] . Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed najnowszą wersją GpCode''a. Szkodnik ten jest wykrywany jako Trojan-Ransom.Win32.GpCode.ax. "Całość [Aby zobaczyć linki, zarejestruj się tutaj] Na razie na stronie Viruslist.pl ostatnie informacje pochodzą z 2008 [Aby zobaczyć linki, zarejestruj się tutaj] --------------------------Edit: sorry za przeoczenie...jest artykuł aktualny na stronie, ale w dziale "Dziennik analityków"...nie zauważyłem [Aby zobaczyć linki, zarejestruj się tutaj] Re: GpCode powraca - morphiusz - 02.12.2010 Ale masakra. Chamstwo. .... Jednak jak ktoś to będzie miał to poproszę próbkę Re: GpCode powraca - ichito - 02.12.2010 Morphiusz...aleś wygodny Re: GpCode powraca - Pablosss - 02.12.2010 Ja też poproszę o próbkę tego cudeńka Re: GpCode powraca - ichito - 02.12.2010 Trochę dodatkowych informacji (sorry, ale pozwalam sobie na skopiowanie własnych wypowiedzi z fixitów ) Możliwe sposoby zarażenia Na MyBroadband.co.za "Trojan-Ransom.Win32.GpCode.ax spreads via infected sites, exploiting vulnerabilities in Adobe Reader, Java, Quicktime Player, or Adobe Flash. " [Aby zobaczyć linki, zarejestruj się tutaj] Na Securelist.com"The program spreads via malicious websites and P2P networks. " [Aby zobaczyć linki, zarejestruj się tutaj] Tu lista aktywności ostatniego wydania trojana - co instaluje, jakich zmian w systemie dokonuje, jaka jest jego dodatkowa aktywność[Aby zobaczyć linki, zarejestruj się tutaj] Ponadto kilka nowości wyszukanych dzisiaj w sieciPodobno MD5 pliku trojana to 4d372a3a6d9055698b9a44e1058443c4 [Aby zobaczyć linki, zarejestruj się tutaj] Trojan atakuje również MBRi ta odmiana GpCode - Trojan.Win32.Oficla.cw.- żąda 100$ za możliwość odzyskania plików. Odkryto również nową modyfikację pod nazwą Trojan-Ransom.Win32.Seftad . Zaleca się w tym przypadku zastosowanie Kaspersky Virus Removal Tool 2010[Aby zobaczyć linki, zarejestruj się tutaj] Sophosrównież informuje o GpCode - u nich wykrywany jest jako Troj/Ransom-U , natomiast zgłoszona odmiana wykryta w plikach PDF nosi nazwę Troj/PDFJS-FL . Krótki cyctat z artykułu:"Files with the following extensions can be affected: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, and .xlsx. The easiest way to identify files that have been meddled with is that their filenames will have been changed to include the suffix ".ENCODED" . [Aby zobaczyć linki, zarejestruj się tutaj] Re: GpCode powraca - tommyklab - 05.12.2010 Ciężko go znaleźć (Trojan-Ransom.Win32.GpCode.ax), hehehe Re: GpCode powraca - morphiusz - 05.12.2010 Poproś Gienka, tyle im wysyłasz, też Ci się coś należy Re: GpCode powraca - Pablosss - 05.12.2010 A niby taki grozny Re: GpCode powraca - tommyklab - 05.12.2010 MD5 pliku Trojan-Ransom.Win32.GpCode.ax jest 042141f29ca40d1c9954d49a201a60a8 wg SOPHOS''a, możliwe, że są 2, lub więcej wersji, np. jeszcze ten hash co jest wyżej podawany przez @ichito [Aby zobaczyć linki, zarejestruj się tutaj] Downloaderem drive-by są/jest jeden z exploitów pdf: [Aby zobaczyć linki, zarejestruj się tutaj] Teraz tylko znaleźć te pliki Edit: Doszedłem do tego: [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] IP prowadzi na Ukrainę: [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Plików się nie da ściągnąć, chyba wyłączyli. Re: GpCode powraca - tommyklab - 08.12.2010 Ktoś jest w posiadaniu próbki, poza AV: [Aby zobaczyć linki, zarejestruj się tutaj] Wiem, że jest kilka MD5 tego samego szkodnika GpCode.ax (możliwe, że modyfikacja tylko pakerem) Na testowym, chodzę z IE6, flashem 10, javą 16u18, za pierona jak się chce na siłę zainfekować to nie da rady Exploity na tej ukraińskiej stronie już nie działają. Gościowi z forum kaspra wszedł ten gpcode.ax na Win7. Mówił, że sciągnął aktualizacje do Win7, oglądnął jakiś film (prawdopodobnie z sieci) i wyłączył kompa. Rano kompa odpalił i miał mnóstwo plików .ENCODED. Atakuje wszystkie pliki z danymi: Cytat: Files with the following extensions can be affected: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, and .xlsx. The easiest way to identify files that have been meddled with is that their filenames will have been changed to include the suffix ".ENCODED".bardzo silnym szyfrem RSA-1024. A mówiłem, że ransomy są prze k.... Bądźcie czujni, ktoś wam może via facebook, e-mail, albo komunikator ten pliczek podesłać.Zawsze skanujcie podejrzane pliki na [Aby zobaczyć linki, zarejestruj się tutaj] Pisałem nawet do autora tego wirusa, ale jego email jest już zdjęty... Trzeba czekać, podobno kaspersky się z nim kontaktuje via real Nowy GPCode.ak (First seen: 2010-11-29): [Aby zobaczyć linki, zarejestruj się tutaj] Re: GpCode powraca - tommyklab - 26.03.2011 Coś ucichła sprawa z tym GpCode 26.03.2011. GPCode znowu się pojawia w nowej wersji: [Aby zobaczyć linki, zarejestruj się tutaj] Re: GpCode powraca - ichito - 29.03.2011 No masz...aleś Tommy wykrakał Wczoraj (28.03) opis nowej postaci GpCode pojawił się na Viruslist pl - występuje teraz pod nazwą Trojan-Ransom.Win32.Gpcode.bn - infekcja następuje przez odwiedziny spreparowanej strony internetowej (atak drive by download ) - najpierw generuje 256-bitowy klucz AES i następnie szyfruje go przy użyciu publicznego 1024-bitowego klucza RSA - klucz następnie jest umieszczony w pliku tekstowym umiejscowionym na pulpicie zarażonego komputera z treścią szantażu - ostrzeżenia i ekrany podobne jak w wersji poprzedniej, niemniej cena za odzyskanie danych wzrosła do 125 dolarów - nastąpiła również zmiana sposobu zapłaty...wcześniej miał być to przelew na konto, teraz żąda zapłaty za pośrednictwem kart pre-paid Ukash - efekt infekcji... "Szkodnik skanuje dyski twarde w poszukiwaniu plików do zaszyfrowania. Wewnątrz zaszyfrowanego pliku konfiguracyjnego zostały wskazane rozszerzenia plików, na podstawie których dokonywany jest wybór plików do zaszyfrowania. To oznacza, że GPCode może zostać łatwo uaktualniony o nowy plik konfiguracyjny . Plik konfiguracyjny zawiera również list z szantażem oraz publiczny 1024-bitowy klucz RSA.(...) Chociaż twórca szkodnika twierdzi, że pliki zostaną skasowane po N dniach, bezpieczniej jest zamknąć komputer lub uruchomić go ponownie – nie znaleźliśmy żadnego dowodu istnienia mechanizmu kasowania plików po określonym czasie . Informacja źródłowa [Aby zobaczyć linki, zarejestruj się tutaj] Re: GpCode powraca - polak900 - 29.03.2011 fajny badziew, ciekawe jak tam najlepsze programy zabezpieczające mają się do tego Re: GpCode powraca - Piotrex44 - 29.03.2011 no przydało by się potestować jak się mają programy av do tego cudeńka.. Re: GpCode powraca - tommyklab - 09.06.2011 No co nieco się wyjaśniło, dlaczego trudno go było pozyskać odwiedzając już niedziałające linki: Cytat: Powrót trojana-szantażysty Próbka dostarczona na VT 2011-03-07 - Trojan-Ransom.Win32.Gpcode.bj- [Aby zobaczyć linki, zarejestruj się tutaj] Jest jeszcze trochę nowsza - Trojan-Ransom.Win32.Gpcode.bn- artykuł z 25.03.2011: [Aby zobaczyć linki, zarejestruj się tutaj] i na VT w tym samym dniu:[Aby zobaczyć linki, zarejestruj się tutaj] Re: GpCode powraca - ichito - 10.06.2011 Wystarczyło i parę godzin, żeby narobić sporego zamieszania Re: GpCode powraca - tommyklab - 10.06.2011 Trojan-Ransom.Win32.Gpcode. bn- dwucyfrowa sekwencja na końcu (jedna sekwencja to ciąg od a-z, czyli 26 liter (Roman letters used in mathematics - Latin letters used in mathematics). Rodzaje: a-z- 26 kombinacji, a jak się skończy to aa-zz- 26wcześniejsze+(26*26)=702 kombinacji, a jak się skończy to aaa-zzz- 702wcześniejsze+(26*26*26)=18278 kombinacji, a jak się skończy to aaaa-zzzz- 18278wcześniejsze+(26*26*26*26)=475254 kombinacje, a jak się skończy to pewnie 5 cyfrowe aaaaa-zzzzz (jeszcze takiego nie ma ) Czyli w tym GpCode. bn : - jedna sekwencja - 26 rodzajów plików (od a-z) - dochodzi druga sekwencja z a na początku - 26+26(od aa-az)=52 plików - dochodzi druga sekwencja z b na początku i kończy się na n - 52+13(od ba-bn)= 65 plików Kilka godzin i ok. 65 wariantów GpCode krążyły w sieci Ktoś mnie poprawi, czy dobrze to liczę? Re: GpCode powraca - tachion - 10.06.2011 he niezle dziadostwo to GpCode i sprytnie pomyslane nie ma gdzies tego szczepu do obadania Re: GpCode powraca - tommyklab - 10.06.2011 Szczepu ostatniego bn nie mam, ale bj mam, to tylko 4 kompilacje wcześniej to są te świństwa z szyfrowaniem 1024-RSA - 256-AES nie do wyleczenia na dzień dzisiejszy oczywiście bez kodu odpowiedniego, który zna "właściciel" ak też mam, ale jego można wyleczyć przez photorec od ax kompilacji mają to silniejsze szyfrowanie Nie wiem, coś się andrzej67 zapowietrzył, bo by przetestował, np. na tylko HIPS progsach jak działa GpCode, ten bj, co o tym myślicie? (nie chcę być uznany za jednostronność, to niech np. andrzej sprawdzi). Re: GpCode powraca - Eru - 10.06.2011 tommy504 napisał(a):przetestował, np. na tylko HIPS progsach jak działa GpCode, ten bj, co o tym myślicie? Dobry pomysł - możesz podesłać ten wariant może zrobię takowy test |