Показано с 1 по 20 из 20.

И снова он — Gpcode

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    И снова он — Gpcode

    Сегодня мы получили настораживающее известие: появилась новая версия троянца Gpcode, шифрующего файлы. В тот же момент мы начали искать файлы в Сети, расспрашивая пострадавших пользователей. Мы получили текстовое описание троянца, но образца не нашли так как троянец повидимому само-удалялся после запуска.

    Однако это нас не остановило и мы продолжили поиски в Сети. Нам повезло и мы нашли экземпляр вредоносной программы по имеющимся у нас признакам. Она распространялась через один из ботнетов.

    В текстовом файле crypted.txt, оставленном троянцем после атаки, автор требует 10$ за расшифровку файла, а также указывает контактные координаты: email, icq, URL. По адресу указанному в файле crypted.txt находится веб-страница, на которой на русском языке написано следующее:http://www.viruslist.com/ru/weblog?weblogid=207758728

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1147
    "Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19

    13 августа 2008 года

    http://info.drweb.com/show/3493/ru
    ---
    (C) 2008, Doctor Web, Ltd.
    Free utility to recover files damaged by Trojan.Encoder.19
    See more information on http://www.drweb.com
    --------------------------------------------------------
    Unable to get KEY from c:\crypted.txt
    Последний раз редактировалось santy; 13.08.2008 в 15:47.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    137
    Trojan.Encoder.19=вчерашний GPcode?
    И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?
    Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/

  5. #4
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    хороший вопрос. хотелось бы услышать на него квалифицированный ответ.
    PS: а как это у Вас вышло так?.. лично мне форум не дает подряд писать одинаковые посты.
    :-)

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    137
    "подвис" форум. Сообщение то не отправлялось, то 3 раза прошло.
    Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/

  7. #6
    Dr. Web Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Сообщений
    63
    Вес репутации
    295
    Цитата Сообщение от santy Посмотреть сообщение
    "Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19

    13 августа 2008 года

    http://info.drweb.com/show/3493/ru
    ---
    (C) 2008, Doctor Web, Ltd.
    Free utility to recover files damaged by Trojan.Encoder.19
    See more information on http://www.drweb.com
    --------------------------------------------------------
    Unable to get KEY from c:\crypted.txt
    а диск c:\ есть? если нет этого файла в корне то он должен быть на рабочем столе, запускать утиль нужно так в таком случае (предварительно обновив с ftp):

    te19decrypt.exe c:\ [путь к crypted.txt]

    Добавлено через 5 минут

    Цитата Сообщение от Lemmit Посмотреть сообщение
    Trojan.Encoder.19=вчерашний GPcode?
    И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?
    были запросы от пользователей с проблемой, сделали лечилку. все.
    Последний раз редактировалось devon; 13.08.2008 в 16:46. Причина: Добавлено

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от devon Посмотреть сообщение
    Цитата Сообщение от Lemmit Посмотреть сообщение
    Trojan.Encoder.19=вчерашний GPcode?
    И если да - то расшифровщик от Др.Веб действительно работает, или это снова война на фронте пиара?
    были запросы от пользователей с проблемой, сделали лечилку. все.
    + написали пиар-новость и разослали ее по всем новостным каналам

    Но все равно дятлы молодцы.
    Последний раз редактировалось DVi; 13.08.2008 в 17:14.

  9. #8
    Dr. Web Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Сообщений
    63
    Вес репутации
    295
    Цитата Сообщение от DVi Посмотреть сообщение
    + написали пиар-новость и разослали ее по всем новостным каналам
    ну пиарщики не спят, грех не воспользоваться новостью

    Но все равно дятлы молодцы.
    А ваши случаем не в ташкент поехали бригадой?

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от DVi Посмотреть сообщение
    и разослали ее по всем новостным каналам
    Примерно также, как Вы про проверку ссылок.

    Добавлено через 3 минуты

    Цитата Сообщение от devon Посмотреть сообщение
    А ваши случаем не в ташкент поехали бригадой?
    А что в Ташкенте?
    Последний раз редактировалось borka; 13.08.2008 в 22:33. Причина: Добавлено
    ---
    С уважением,
    Borka.

  11. #10
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Примерно также, как Вы про проверку ссылок.
    я живу в танке времен Первой мировой... - расскажите мне про проверку ссылок

    а по какому принципу работает тулза ? просто расшифровывает и все??
    ну это же не base64 что-бы вот просто так брать и расшифровывать...
    в чем изюминка тулзы?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1147
    Цитата Сообщение от devon Посмотреть сообщение
    а диск c:\ есть? если нет этого файла в корне то он должен быть на рабочем столе, запускать утиль нужно так в таком случае (предварительно обновив с ftp):

    te19decrypt.exe c:\ [путь к crypted.txt]
    Спасибо. Это понятно. Просто, откопировал лог запуска для примера. Естественно, файла crypted.txt нет в системе.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от borka Посмотреть сообщение
    А что в Ташкенте?
    Присоединяюсь к вопросу. А что в Ташкенте?

  14. #13
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от priv8v Посмотреть сообщение
    я живу в танке времен Первой мировой... - расскажите мне про проверку ссылок
    Для тех, кто в танке - тема обсуждается здесь.
    ---
    С уважением,
    Borka.

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от santy Посмотреть сообщение
    "Доктор Веб" выпустил бесплатную утилиту дешифровки от новой версии троянца-вымогателя Trojan.Encoder.19

    13 августа 2008 года

    http://info.drweb.com/show/3493/ru
    ---
    (C) 2008, Doctor Web, Ltd.
    Free utility to recover files damaged by Trojan.Encoder.19
    See more information on http://www.drweb.com
    --------------------------------------------------------
    Unable to get KEY from c:\crypted.txt
    14 августа появилась запись в блоге ЛК: http://www.viruslist.com/ru/weblog?weblogid=207758730
    Риск ущерба от нового троянца-вымогателя, о котором мы писали в предыдущем сообщении, оказался совсем не высоким. Несмотря на заявления автора троянца, использование алгоритма AES-256 и огромного количества возможных ключей оказались всего лишь блефом. Автор также не использовал схему шифрования с открытым ключом, а это значит, что все данные для дешифровки находятся в теле вредоносной программы.

    Анализ схемы шифрования показал, что в программе применялся алгоритм 3DES. Автор поленился создавать программный код процедуры шифрования самостоятельно и воспользовался готовым компонентом среды разработки Delphi. Стиль программирования троянца весьма хаотичен, что говорит о невысоком уровне знаний разработчика.

    Троянская программа детектируется нами с 11 августа под именем Trojan-Ransom.Win32.Gpcode.am. Процедура восстановления зашифрованных файлов включена в базы Антивируса Касперского. Для восстановления файлов необходимо обновить антивирусные базы и запустить полную проверку дисков на атакованном компьютере. Не удивляйтесь если кроме зашифрованных файлов антивирус обнаружит ещё и другие вредоносные программы, поскольку троян-шифровальщик распространялся при помощи другого троянца.

  16. #15
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Ну правильно. Раз Доктор выпустил утилиту лечения, то троян-то был вообще никакой, что и говорить об этом!
    ---
    С уважением,
    Borka.

  17. #16
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    что-бы DVi и borka перестали заниматься литературными изысками и демонстрировать энциклопедические знания русского языка, веское слово придется, думаю, сказать Олегу - т.е сказать является ли правдой то, что написали "Касперские" в своем блоге или нет.
    Это должно поставить точку в обсуждении крутости гпкоде.

    PS: а то складывается почему-то у меня всегда впечатление, что DVi что-то в душевном порыве скажет, а borka затем просто "докапывается".
    Никого не хочу обидеть.

  18. #17
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от priv8v Посмотреть сообщение
    Это должно поставить точку в обсуждении крутости гпкоде.
    Дело не в крутости ЖПКодера, а в форме подачи информации.
    ---
    С уважением,
    Borka.

  19. #18
    Dr. Web Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Сообщений
    63
    Вес репутации
    295
    Цитата Сообщение от DVi Посмотреть сообщение
    Присоединяюсь к вопросу. А что в Ташкенте?
    не уж то не заметили... мальчишка то следов по на оставлял полно.

    Добавлено через 1 минуту

    Цитата Сообщение от DVi Посмотреть сообщение
    14 августа появилась запись в блоге ЛК: http://www.viruslist.com/ru/weblog?weblogid=207758730
    долго же вы соображали..., больше тут говорить не очем. за сим тема закрыта для меня.
    Последний раз редактировалось devon; 18.08.2008 в 22:14. Причина: Добавлено

  20. #19
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от devon Посмотреть сообщение
    не уж то не заметили...
    Хм...
    ---
    С уважением,
    Borka.

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от devon Посмотреть сообщение
    долго же вы соображали... больше тут говорить не очем. за сим тема закрыта для меня.
    Константин, если Вы каким-то образом принимали участие в разборе этого зловреда, об этом можно сообщить в более спокойном тоне, не прибегая к оскорблениям. Тем более, что разница между выпуском лечилок составила полдня. Для вирусных аналитиков этот срок, возможно, вопрос престижа. Но вы-то работаете в тестлабе, если не ошибаюсь...

Похожие темы

  1. похоже на работу Trojan-Ransom.Win32.Gpcode
    От Vinny_B в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 11.03.2012, 13:51
  2. suspect a Win 32 gpcode virus
    От danmix в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 24.12.2009, 19:14
  3. Восстановление файлов после атаки Gpcode.ak
    От Гриша в разделе Новости компьютерной безопасности
    Ответов: 6
    Последнее сообщение: 15.06.2008, 14:59
  4. Virus.Win32.GPCode.ac
    От ALEX(XX) в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 27.01.2006, 15:28

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00432 seconds with 19 queries