UPOZORENJE: Trojanac ucenjuje korisnike

Opisi virusa, 01.12.2010, 02:32 AM

UPOZORENJE: Trojanac ucenjuje korisnike

Stručnjaci su upozorili korisnike Windowsa na iznenadan povratak na scenu jedne od najopasnijih porodica malicioznog softvera, takozvanom ransomware malicioznom programu (ransom, engl. - otkup, ucena), koji kodira fajlove na zaraženom računaru pre nego zatraži otkup za ključ kojim žrtva može da dekodira fajlove.

U krugovima stručnjaka, GpCode je na lošem glasu ali se srećom pojavljuje veoma retko, otprilike na svakih godinu i po dana, počev od svog debitantskog “nastupa” 2004. godine, a svako njegovo pojavljivanje donosi nam sve sofisticiraniju verziju ovog malicioznog programa.

Prema analizi stručnjaka kompanije Kaspersky Lab, Vitalija Kamlukova, najnovija verzija programa, Trojan-Ransom.Win32.GpCode.ax, funkcioniše na sličan način kao i starije verzije i opasna je kao i njeni prethodnici.

GpCode je otkriven 2004. godine i od tada su se njegove novije verzije pojavljivavale skoro svake godine sve do 2008. godine. Od tada, njegovi autori su se primirili a tokom tog perioda pojavilo se nekoliko malicioznih programa koji imitiraju GpCode ali koji nisu predstavljali stvarnu pretnju po bezbednost korisničkih računara zato što nisu koristili moćne kriptografske algoritme.

Program je vaoma opasan zato što su šanse da ćete povratiti svoje podatke veoma male. Skoro da su posledice iste kao i kod trajnog uklanjanja podataka sa hard diska.

Novi GpCode je moćniji nego ikada pre. Za razliku od svoji prethodnika, on ne briše fajlove nakon enkripcije. Umesto toga, novi GpCode zamenjuje podatke drugima, što kasnije programe za oporavak i povraćaj podataka, čini neupotrebljivim.

Preliminarne analize pokazuju da su RSA-1024 i AES-256 korišćeni kao algoritmi. GpCode vrši enkripciju samo jednog dela fajla, počevši od prvog bajta.

Ukoliko mislite da je i vaš računar zaražen, najbolje bi bilo da ne menjate bilo šta na svom sistemu jer to kasnije može sprečiti primenu rešenja za povraćaj podataka koje će svakako biti pronađeno. Bolje je da ugasite računar ili ga restartujete uprkos tvrdnjama autora GpCode da se fajlovi brišu posle određenog broja dana, kažu iz kompanije Kaspersky Lab. Za sada, nema dokaza da postoji mehanizam za brisanje fajlova koji je vremenski određen.

Korisnici bi trebalo da znaju da prepoznaju GpCode onog trenutka kada se pojavi upozorenje na ekranu. Pritisak na Reset ili Power dugme u tom trenutku može vam sačuvati značajan broj vrednih podataka. Bilo bi poželjno da i svoje prijatelje obavestite da treba da obrate pažnju na notepad fajl sa tekstom kao na slici:

Nemojte oklevati nego isključite svoj računar odmah, ako vam je tako brže možete izvući i kabl iz napajanja na svom računaru.

Još jedan znak infekcije je izmena desktop pozadine kao na slici ispod:

Kaspersky Lab je objavio i da su otkrivena još dva maliciozna programa ovog tipa (ransomware), manje sofisticiran nego što je to slučaj sa Trojan-Ransom.Win32.GpCode.ax. Reč je o Trojan-Ransom.Win32.Seftad.a i Trojan-Ransom.Boot.Seftad.a, koji zahtevaju otkup od korisnika nakon što se kopiraju u MBR (master boot record) hard diska i restartuju računar.

Ove maliciozne programe preuzima Trojan.Win32.Oficla.cw. Ukoliko Trojanac Oficla.cw. preuzme i pokrene Seftad.a, računar se restartuje i na ekranu se pojavljuje sledeća poruka:

Naravno, korisnik zaraženog računara ne zna lozinku, pa će se nakon tri neuspešna pokušaja, kompjuter restartovati i ista poruka će se pojaviti na ekranu.

Na sreću, zahtev za otkupom u vrednosti od 100 dolara preko sajta i tvrdnja da je hard disk kodiran je blef. Fajlovi na hard disku nisu kodirani kako tvrdi autor malicioznog programa - ransomware samo preko originalnogi MBR prepisuje maliciozni MBR.

Ukoliko je vaš računar zaražen nekim od ovih programa, nemojte posećivati veb-sajt autora malwarea. Koristite lozinku “aaaaaaciip” (bez navodnika) kako bi vratili MBR u početno stanje. Ukoliko ta lozinka ne funkcioniše, pokušajte sa Kaspersky Rescue Disk 10.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi špijun: Remcos RAT

Nevidljivi špijun: Remcos RAT

Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje