UPOZORENJE: Trojanac ucenjuje korisnike

Opisi virusa, 01.12.2010, 02:32 AM

Stručnjaci su upozorili korisnike Windowsa na iznenadan povratak na scenu jedne od najopasnijih porodica malicioznog softvera, takozvanom ransomware malicioznom programu (ransom, engl. - otkup, ucena), koji kodira fajlove na zaraženom računaru pre nego zatraži otkup za ključ kojim žrtva može da dekodira fajlove.

U krugovima stručnjaka, GpCode je na lošem glasu ali se srećom pojavljuje veoma retko, otprilike na svakih godinu i po dana, počev od svog debitantskog “nastupa” 2004. godine, a svako njegovo pojavljivanje donosi nam sve sofisticiraniju verziju ovog malicioznog programa.

Prema analizi stručnjaka kompanije Kaspersky Lab, Vitalija Kamlukova, najnovija verzija programa, Trojan-Ransom.Win32.GpCode.ax, funkcioniše na sličan način kao i starije verzije i opasna je kao i njeni prethodnici.

GpCode je otkriven 2004. godine i od tada su se njegove novije verzije pojavljivavale skoro svake godine sve do 2008. godine. Od tada, njegovi autori su se primirili a tokom tog perioda pojavilo se nekoliko malicioznih programa koji imitiraju GpCode ali koji nisu predstavljali stvarnu pretnju po bezbednost korisničkih računara zato što nisu koristili moćne kriptografske algoritme.

Program je vaoma opasan zato što su šanse da ćete povratiti svoje podatke veoma male. Skoro da su posledice iste kao i kod trajnog uklanjanja podataka sa hard diska.

Novi GpCode je moćniji nego ikada pre. Za razliku od svoji prethodnika, on ne briše fajlove nakon enkripcije. Umesto toga, novi GpCode zamenjuje podatke drugima, što kasnije programe za oporavak i povraćaj podataka, čini neupotrebljivim.

Preliminarne analize pokazuju da su RSA-1024 i AES-256 korišćeni kao algoritmi. GpCode vrši enkripciju samo jednog dela fajla, počevši od prvog bajta.

Ukoliko mislite da je i vaš računar zaražen, najbolje bi bilo da ne menjate bilo šta na svom sistemu jer to kasnije može sprečiti primenu rešenja za povraćaj podataka koje će svakako biti pronađeno. Bolje je da ugasite računar ili ga restartujete uprkos tvrdnjama autora GpCode da se fajlovi brišu posle određenog broja dana, kažu iz kompanije Kaspersky Lab. Za sada, nema dokaza da postoji mehanizam za brisanje fajlova koji je vremenski određen.

Korisnici bi trebalo da znaju da prepoznaju GpCode onog trenutka kada se pojavi upozorenje na ekranu. Pritisak na Reset ili Power dugme u tom trenutku može vam sačuvati značajan broj vrednih podataka. Bilo bi poželjno da i svoje prijatelje obavestite da treba da obrate pažnju na notepad fajl sa tekstom kao na slici:

Nemojte oklevati nego isključite svoj računar odmah, ako vam je tako brže možete izvući i kabl iz napajanja na svom računaru.

Još jedan znak infekcije je izmena desktop pozadine kao na slici ispod:

Kaspersky Lab je objavio i da su otkrivena još dva maliciozna programa ovog tipa (ransomware), manje sofisticiran nego što je to slučaj sa Trojan-Ransom.Win32.GpCode.ax. Reč je o Trojan-Ransom.Win32.Seftad.a i Trojan-Ransom.Boot.Seftad.a, koji zahtevaju otkup od korisnika nakon što se kopiraju u MBR (master boot record) hard diska i restartuju računar.

Ove maliciozne programe preuzima Trojan.Win32.Oficla.cw. Ukoliko Trojanac Oficla.cw. preuzme i pokrene Seftad.a, računar se restartuje i na ekranu se pojavljuje sledeća poruka:

Naravno, korisnik zaraženog računara ne zna lozinku, pa će se nakon tri neuspešna pokušaja, kompjuter restartovati i ista poruka će se pojaviti na ekranu.

Na sreću, zahtev za otkupom u vrednosti od 100 dolara preko sajta i tvrdnja da je hard disk kodiran je blef. Fajlovi na hard disku nisu kodirani kako tvrdi autor malicioznog programa - ransomware samo preko originalnogi MBR prepisuje maliciozni MBR.

Ukoliko je vaš računar zaražen nekim od ovih programa, nemojte posećivati veb-sajt autora malwarea. Koristite lozinku “aaaaaaciip” (bez navodnika) kako bi vratili MBR u početno stanje. Ukoliko ta lozinka ne funkcioniše, pokušajte sa Kaspersky Rescue Disk 10.