PDA

Просмотр полной версии : Возвращение вымогателя


Весёлый Молочник
29.10.2007, 20:26
Больше года мы ничего не слышали о троянцах-шифровальщиках. Знаменитая уже история о том, как антивирусные компании боролись с Gpcode, использовавшим для шифрования пользовательских данных алгоритм RSA, была детально описана в нашей статье «Шантажист», и мы прогнозировали увеличение количества подобных программ в будущем.

Однако ждать пришлось больше года.

В эти выходные некоторые из зарубежных пользователей обнаружили, что их документы, фотографии, архивы и рабочие файлы перестали открываться и представляют собой «цифровой мусор», а в системе появились файлы с именем read_me.txt. Содержимое файлов было, к сожалению, узнаваемо:

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.

If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.

Glamorous team

Неизвестный вымогатель вернулся? Адрес электронной почты, указанный в этом тексте, уже был знаком вирусным аналитикам «Лаборатории Касперского» — он встречался в некоторых вариантах троянских программ LdPinch и Banker. Эти троянцы имели четко выраженный российский след.

Анализ зашифрованных файлов, произведенный нашими специалистами, показал, что, несмотря на текст письма, вместо алгоритма RSA-4096 использована модификация алгоритма RC4, что значительно облегчает нам решение проблемы, и уже сегодня мы реализуем процедуры расшифровки пользовательских файлов в наших антивирусных базах.

Кроме того, несмотря на приведенный выше текст, зловред не собирает и не отправляет никаких файлов злоумышленникам — опасность утечки конфиденциальных данных отсутствует.

Троянский файл имеет размер 58368 байт и осуществляет свою вредоносную деятельность в зависимости от даты — только в период с 10 по 15 июля 2007 года.

Антивирус Касперского детектирует его как Virus.Win32.Gpcode.ai.

Также необходимо отметить, что Антивирус Касперского версий 6.0 и 7.0 в режиме проактивной защиты надежно защищает пользователей от данной угрозы, детектируя троянскую программу как Trojan.generic и Invader без обновления антивирусных баз.

Еще раз хотим подчеркнуть, что всем пострадавшим от действий Gpcode.ai ни в коем случае не следует вступать в переговоры с злоумышленниками и выплачивать им требуемые суммы за восстановление данных. Антивирусные программы в состоянии справиться с данной угрозой.

Автор: Александр из kaspersky.

deff
29.10.2007, 22:03
херасе даже не слышал о таком :)
а реально ли с ними вступать в переговоры ваще?

Весёлый Молочник
30.10.2007, 00:19
С кем?

Петя Булкин
30.10.2007, 13:01
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.

Эти троянцы имели четко выраженный российский след.

Даже стыдно как-то за наших (россиян) , дату-то на англицком хоть бы правильно написали , что ли ... :107:

deff
30.10.2007, 19:00
С кем?
ну ёпта, сам то хоть читал что скинул?

Еще раз хотим подчеркнуть, что всем пострадавшим от действий Gpcode.ai ни в коем случае не следует вступать в переговоры с злоумышленниками и выплачивать им требуемые суммы за восстановление данных. Антивирусные программы в состоянии справиться с данной угрозой.

Весёлый Молочник
30.10.2007, 19:17
Ну это был сарказм. =) Проверял хорошо ли ты читал. :) Если там написано ответ на твой вопрос нафиг его задавать?

deff
30.10.2007, 19:22
ваще то на мой вопрос там ответа нет. да проехали кароче.

Nikolai
30.10.2007, 19:59
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.

Даже стыдно как-то за наших (россиян) , дату-то на англицком хоть бы правильно написали , что ли ... :107:

по английски дата так и пишется: месяц/день/год, или у США так, ну короче на западе так заведено

Петя Булкин
31.10.2007, 00:22
Сорри. Да , прошляпил ... А где же пишут то сначала год потом уже д/м или м/д ? помню что было где-то , несколько же стандартов .

vtkt
31.10.2007, 02:11
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.

Эти троянцы имели четко выраженный российский след.

Даже стыдно как-то за наших (россиян) , дату-то на англицком хоть бы правильно написали , что ли ... :107:

хе... тут под data имееца ввиду данные (папки,файлы)

по английски дата так и пишется: месяц/день/год, или у США так, ну короче на западе так заведено

по английски дата пишеца как date

Весёлый Молочник
31.10.2007, 08:58
Ты не понял это у нас в порядке вещей писать скажем 31.10.07 у них месяц в начале идёт или вообщем не так как у нас.

vtkt
31.10.2007, 13:37
ааа, все уловил смысл =)