-
И снова он — Gpcode
Сегодня мы получили настораживающее известие: появилась новая версия троянца Gpcode, шифрующего файлы. В тот же момент мы начали искать файлы в Сети, расспрашивая пострадавших пользователей. Мы получили текстовое описание троянца, но образца не нашли так как троянец повидимому само-удалялся после запуска.
Однако это нас не остановило и мы продолжили поиски в Сети. Нам повезло и мы нашли экземпляр вредоносной программы по имеющимся у нас признакам. Она распространялась через один из ботнетов.
В текстовом файле crypted.txt, оставленном троянцем после атаки, автор требует 10$ за расшифровку файла, а также указывает контактные координаты: email, icq, URL. По адресу указанному в файле crypted.txt находится веб-страница, на которой на русском языке написано следующее:http://www.viruslist.com/ru/weblog?weblogid=207758728
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19
13 августа 2008 года
http://info.drweb.com/show/3493/ru
---
(C) 2008, Doctor Web, Ltd.
Free utility to recover files damaged by Trojan.Encoder.19
See more information on http://www.drweb.com
--------------------------------------------------------
Unable to get KEY from c:\crypted.txt
Последний раз редактировалось santy; 13.08.2008 в 15:47.
-
-
Trojan.Encoder.19=вчерашний GPcode?
И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?
Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/
-
хороший вопрос. хотелось бы услышать на него квалифицированный ответ.
PS: а как это у Вас вышло так?.. лично мне форум не дает подряд писать одинаковые посты.
:-)
-
"подвис" форум. Сообщение то не отправлялось, то 3 раза прошло.
Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/
-
Сообщение от
santy
"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19
13 августа 2008 года
http://info.drweb.com/show/3493/ru
---
(C) 2008, Doctor Web, Ltd.
Free utility to recover files damaged by Trojan.Encoder.19
See more information on
http://www.drweb.com
--------------------------------------------------------
Unable to get KEY from c:\crypted.txt
а диск c:\ есть? если нет этого файла в корне то он должен быть на рабочем столе, запускать утиль нужно так в таком случае (предварительно обновив с ftp):
te19decrypt.exe c:\ [путь к crypted.txt]
Добавлено через 5 минут
Сообщение от
Lemmit
Trojan.Encoder.19=вчерашний GPcode?
И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?
были запросы от пользователей с проблемой, сделали лечилку. все.
Последний раз редактировалось devon; 13.08.2008 в 16:46.
Причина: Добавлено
-
-
Сообщение от
devon
Сообщение от
Lemmit
Trojan.Encoder.19=вчерашний GPcode?
И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?
были запросы от пользователей с проблемой, сделали лечилку. все.
+ написали пиар-новость и разослали ее по всем новостным каналам
Но все равно дятлы молодцы.
Последний раз редактировалось DVi; 13.08.2008 в 17:14.
-
-
Сообщение от
DVi
+ написали пиар-новость и
разослали ее по всем новостным каналам
ну пиарщики не спят, грех не воспользоваться новостью
Но все равно дятлы молодцы.
А ваши случаем не в ташкент поехали бригадой?
-
-
Сообщение от
DVi
и разослали ее по всем новостным каналам
Примерно также, как Вы про проверку ссылок.
Добавлено через 3 минуты
Сообщение от
devon
А ваши случаем не в ташкент поехали бригадой?
А что в Ташкенте?
Последний раз редактировалось borka; 13.08.2008 в 22:33.
Причина: Добавлено
---
С уважением,
Borka.
-
Примерно также, как Вы про проверку ссылок.
я живу в танке времен Первой мировой... - расскажите мне про проверку ссылок
а по какому принципу работает тулза ? просто расшифровывает и все??
ну это же не base64 что-бы вот просто так брать и расшифровывать...
в чем изюминка тулзы?
-
Сообщение от
devon
а диск c:\ есть? если нет этого файла в корне то он должен быть на рабочем столе, запускать утиль нужно так в таком случае (предварительно обновив с ftp):
te19decrypt.exe c:\ [путь к crypted.txt]
Спасибо. Это понятно. Просто, откопировал лог запуска для примера. Естественно, файла crypted.txt нет в системе.
-
-
Сообщение от
borka
А что в Ташкенте?
Присоединяюсь к вопросу. А что в Ташкенте?
-
-
Сообщение от
priv8v
я живу в танке времен Первой мировой... - расскажите мне про проверку ссылок
Для тех, кто в танке - тема обсуждается здесь.
-
Сообщение от
santy
"Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19
13 августа 2008 года
http://info.drweb.com/show/3493/ru
---
(C) 2008, Doctor Web, Ltd.
Free utility to recover files damaged by Trojan.Encoder.19
See more information on
http://www.drweb.com
--------------------------------------------------------
Unable to get KEY from c:\crypted.txt
14 августа появилась запись в блоге ЛК: http://www.viruslist.com/ru/weblog?weblogid=207758730
Риск ущерба от нового троянца-вымогателя, о котором мы писали в предыдущем сообщении, оказался совсем не высоким. Несмотря на заявления автора троянца, использование алгоритма AES-256 и огромного количества возможных ключей оказались всего лишь блефом. Автор также не использовал схему шифрования с открытым ключом, а это значит, что все данные для дешифровки находятся в теле вредоносной программы.
Анализ схемы шифрования показал, что в программе применялся алгоритм 3DES. Автор поленился создавать программный код процедуры шифрования самостоятельно и воспользовался готовым компонентом среды разработки Delphi. Стиль программирования троянца весьма хаотичен, что говорит о невысоком уровне знаний разработчика.
Троянская программа детектируется нами с 11 августа под именем Trojan-Ransom.Win32.Gpcode.am. Процедура восстановления зашифрованных файлов включена в базы Антивируса Касперского. Для восстановления файлов необходимо обновить антивирусные базы и запустить полную проверку дисков на атакованном компьютере. Не удивляйтесь если кроме зашифрованных файлов антивирус обнаружит ещё и другие вредоносные программы, поскольку троян-шифровальщик распространялся при помощи другого троянца.
-
-
Ну правильно. Раз Доктор выпустил утилиту лечения, то троян-то был вообще никакой, что и говорить об этом!
-
что-бы DVi и borka перестали заниматься литературными изысками и демонстрировать энциклопедические знания русского языка, веское слово придется, думаю, сказать Олегу - т.е сказать является ли правдой то, что написали "Касперские" в своем блоге или нет.
Это должно поставить точку в обсуждении крутости гпкоде.
PS: а то складывается почему-то у меня всегда впечатление, что DVi что-то в душевном порыве скажет, а borka затем просто "докапывается".
Никого не хочу обидеть.
-
Сообщение от
priv8v
Это должно поставить точку в обсуждении крутости гпкоде.
Дело не в крутости ЖПКодера, а в форме подачи информации.
-
Сообщение от
DVi
Присоединяюсь к вопросу. А что в Ташкенте?
не уж то не заметили... мальчишка то следов по на оставлял полно.
Добавлено через 1 минуту
Сообщение от
DVi
долго же вы соображали..., больше тут говорить не очем. за сим тема закрыта для меня.
Последний раз редактировалось devon; 18.08.2008 в 22:14.
Причина: Добавлено
-
-
Сообщение от
devon
не уж то не заметили...
Хм...
-
Сообщение от
devon
долго же вы соображали... больше тут говорить не очем. за сим тема закрыта для меня.
Константин, если Вы каким-то образом принимали участие в разборе этого зловреда, об этом можно сообщить в более спокойном тоне, не прибегая к оскорблениям. Тем более, что разница между выпуском лечилок составила полдня. Для вирусных аналитиков этот срок, возможно, вопрос престижа. Но вы-то работаете в тестлабе, если не ошибаюсь...
-