«Лаборатория Касперского» сообщает об обнаружении новой версии программы-шантажиста Gpcode

«Лаборатория Касперского», ведущий разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой версии печально известной шантажной программы Gpcode.

Обнаруженная недавно вирусными аналитиками «Лаборатории Касперского» вредоносная программа Virus.Win32.Gpcode.ai при попадании на компьютер жертвы использует сложный криптографический алгоритм для шифрования личных документов и архивов пользователя, в результате чего они перестают открываться. Кроме того, в системе появляются файлы read_me.txt, в котором сообщается, что файлы пользователя были зашифрованы с использованием алгоритма RSA-4096 и на их расшифровку требуется несколько лет. Преступники предлагают вернуть украденные данные за выкуп в 300 долларов. Вот как выглядит это послание, подписанное некой «Гламурной командой», в оригинале:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team

Однако на самом деле данная версия шантажной программы использует другой криптографический алгоритм, модифицированный RC4. Также ложным оказалось заявление вирусописателей о том, что личные файлы пользователей были отосланы злоумышленникам – никакие файлы никуда не отправлялись.

Различные версии Gpcode в прошлом неоднократно обнаруживались «Лабораторией Касперского», и во всех без исключения случаях специалисты компании успешно находили ключ для расшифровки пораженных файлов.

Детектирование вредоносной программы Virus.Win32.Gpcode.ai включено в антивирусные базы «Лаборатории Касперского». Всем пользователям продуктов компании рекомендуется обновить сигнатуры угроз.

Необходимо отметить, что модуль проактивной защиты, интегрированный в антивирусные продукты «Лаборатории Касперского» версий 6.0 и 7.0, надежно защищает пользователей от данной угрозы даже без обновления антивирусных баз, детектируя эту шантажную программу как spanojan.generic и Invader, блокируя ее активность.

Кроме того, специалистам «Лаборатории Касперского» удалось создать процедуру расшифровки поврежденных файлов, которая будет добавлена в антивирусные базы в самое ближайшее время.

Подробное описание шантажной программы Virus.Win32.Gpcode.ai можно найти на информационно-аналитическом ресурсе Viruslist.ru по адресу http://www.viruslist.com/ru/viruses/encyclopedia?virusid=164339.