И снова он — Gpcode

Сегодня мы получили настораживающее известие: появилась новая версия троянца Gpcode, шифрующего файлы. В тот же момент мы начали искать файлы в Сети, расспрашивая пострадавших пользователей. Мы получили текстовое описание троянца, но образца не нашли так как троянец повидимому само-удалялся после запуска.

Однако это нас не остановило и мы продолжили поиски в Сети. Нам повезло и мы нашли экземпляр вредоносной программы по имеющимся у нас признакам. Она распространялась через один из ботнетов.

В текстовом файле crypted.txt, оставленном троянцем после атаки, автор требует 10$ за расшифровку файла, а также указывает контактные координаты: email, icq, URL. По адресу указанному в файле crypted.txt находится веб-страница, на которой на русском языке написано следующее:[url]http://www.viruslist.com/ru/weblog?weblogid=207758728[/url]

"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19

13 августа 2008 года

[url]http://info.drweb.com/show/3493/ru[/url]
---
(C) 2008, Doctor Web, Ltd.
Free utility to recover files damaged by Trojan.Encoder.19
See more information on [url]http://www.drweb.com[/url]
--------------------------------------------------------
Unable to get KEY from c:\crypted.txt

Trojan.Encoder.19=вчерашний GPcode?
И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?

хороший вопрос. хотелось бы услышать на него квалифицированный ответ.
PS: а как это у Вас вышло так?.. лично мне форум не дает подряд писать одинаковые посты.
:-)

:) [COLOR="Silver"][SIZE="1"] "подвис" форум. Сообщение то не отправлялось, то 3 раза прошло.[/SIZE][/COLOR]

[QUOTE=santy;267009]"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19

13 августа 2008 года

[url]http://info.drweb.com/show/3493/ru[/url]
---
(C) 2008, Doctor Web, Ltd.
Free utility to recover files damaged by Trojan.Encoder.19
See more information on [url]http://www.drweb.com[/url]
--------------------------------------------------------
Unable to get KEY from c:\crypted.txt[/QUOTE]

а диск c:\ есть? если нет этого файла в корне то он должен быть на рабочем столе, запускать утиль нужно так в таком случае (предварительно обновив с ftp):

te19decrypt.exe c:\ [путь к crypted.txt]

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE=Lemmit;267031]Trojan.Encoder.19=вчерашний GPcode?
И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?[/QUOTE]
были запросы от пользователей с проблемой, сделали лечилку. все.

[QUOTE=devon;267050]
[QUOTE=Lemmit;267031]Trojan.Encoder.19=вчерашний GPcode?
И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?[/QUOTE]
были запросы от пользователей с проблемой, сделали лечилку. все.[/QUOTE]
+ написали пиар-новость и [URL="http://safe.cnews.ru/news/line/index.shtml?2008/08/13/312438"]разослали[/URL] ее по всем новостным каналам :P

Но все равно дятлы молодцы.

[QUOTE=DVi;267068]+ написали пиар-новость и [URL="http://safe.cnews.ru/news/line/index.shtml?2008/08/13/312438"]разослали[/URL] ее по всем новостным каналам :P[/QUOTE]
ну пиарщики не спят, грех не воспользоваться новостью :)

[QUOTE]Но все равно дятлы молодцы.[/QUOTE]
А ваши случаем не в ташкент поехали бригадой? :)

[QUOTE=DVi;267068]и разослали ее по всем новостным каналам :P[/QUOTE]
Примерно также, как Вы про проверку ссылок. :P

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=devon;267164]А ваши случаем не в ташкент поехали бригадой? :)[/QUOTE]
А что в Ташкенте? :worried:

[QUOTE]
Примерно также, как Вы про проверку ссылок.
[/QUOTE]
я живу в танке времен Первой мировой... - расскажите мне про проверку ссылок ;)

а по какому принципу работает тулза ? просто расшифровывает и все??
ну это же не base64 что-бы вот просто так брать и расшифровывать...
в чем изюминка тулзы?
:?

[QUOTE=devon;267050]а диск c:\ есть? если нет этого файла в корне то он должен быть на рабочем столе, запускать утиль нужно так в таком случае (предварительно обновив с ftp):

te19decrypt.exe c:\ [путь к crypted.txt]
[/QUOTE]

Спасибо. Это понятно. Просто, откопировал лог запуска для примера. Естественно, файла crypted.txt нет в системе.

[QUOTE=borka;267175]А что в Ташкенте? :worried:[/QUOTE]
Присоединяюсь к вопросу. А что в Ташкенте?

[QUOTE=priv8v;267313]я живу в танке времен Первой мировой... - расскажите мне про проверку ссылок ;) [/QUOTE]
Для тех, кто в танке ;) - тема обсуждается [url=http://virusinfo.info/showthread.php?t=12696]здесь[/url].

[QUOTE=santy;267009]"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19

13 августа 2008 года

[url]http://info.drweb.com/show/3493/ru[/url]
---
(C) 2008, Doctor Web, Ltd.
Free utility to recover files damaged by Trojan.Encoder.19
See more information on [url]http://www.drweb.com[/url]
--------------------------------------------------------
Unable to get KEY from c:\crypted.txt[/QUOTE]

14 августа появилась запись в блоге ЛК: [url]http://www.viruslist.com/ru/weblog?weblogid=207758730[/url]
[QUOTE]Риск ущерба от нового троянца-вымогателя, о котором мы писали в предыдущем сообщении, оказался совсем не высоким. Несмотря на заявления автора троянца, использование алгоритма AES-256 и огромного количества возможных ключей оказались всего лишь блефом. Автор также не использовал схему шифрования с открытым ключом, а это значит, что все данные для дешифровки находятся в теле вредоносной программы.

Анализ схемы шифрования показал, что в программе применялся алгоритм 3DES. Автор поленился создавать программный код процедуры шифрования самостоятельно и воспользовался готовым компонентом среды разработки Delphi. Стиль программирования троянца весьма хаотичен, что говорит о невысоком уровне знаний разработчика.

Троянская программа детектируется нами с 11 августа под именем Trojan-Ransom.Win32.Gpcode.am. Процедура восстановления зашифрованных файлов включена в базы Антивируса Касперского. Для восстановления файлов необходимо обновить антивирусные базы и запустить полную проверку дисков на атакованном компьютере. Не удивляйтесь если кроме зашифрованных файлов антивирус обнаружит ещё и другие вредоносные программы, поскольку троян-шифровальщик распространялся при помощи другого троянца.[/QUOTE]

Ну правильно. Раз Доктор выпустил утилиту лечения, то троян-то был вообще никакой, что и говорить об этом! :P

что-бы DVi и borka перестали заниматься литературными изысками и демонстрировать энциклопедические знания русского языка, веское слово придется, думаю, сказать Олегу - т.е сказать является ли правдой то, что написали "Касперские" в своем блоге или нет.
Это должно поставить точку в обсуждении крутости гпкоде.

PS: а то складывается почему-то у меня всегда впечатление, что DVi что-то в душевном порыве скажет, а borka затем просто "докапывается".
Никого не хочу обидеть.

[QUOTE=priv8v;269386]Это должно поставить точку в обсуждении крутости гпкоде.[/QUOTE]
Дело не в крутости ЖПКодера, а в форме подачи информации. :)

[QUOTE=DVi;267434]Присоединяюсь к вопросу. А что в Ташкенте?[/QUOTE]
не уж то не заметили... мальчишка то следов по на оставлял полно.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=DVi;269354]14 августа появилась запись в блоге ЛК: [url]http://www.viruslist.com/ru/weblog?weblogid=207758730[/url][/QUOTE]
долго же вы соображали..., больше тут говорить не очем. за сим тема закрыта для меня.

[QUOTE=devon;269722]не уж то не заметили... [/QUOTE]
Хм... :worried:

[QUOTE=devon;269722]долго же вы соображали... больше тут говорить не очем. за сим тема закрыта для меня.[/QUOTE]
Константин, если Вы каким-то образом принимали участие в разборе этого зловреда, об этом можно сообщить в более спокойном тоне, не прибегая к оскорблениям. Тем более, что разница между выпуском лечилок составила полдня. Для вирусных аналитиков этот срок, возможно, вопрос престижа. Но вы-то работаете в тестлабе, если не ошибаюсь...