MyCity » Zaštita od zlonamernih programa » Novi opasan virus (Virus.Win32.Gpcode)

Novi opasan virus (Virus.Win32.Gpcode)

Napisano na dan: 9.6.2008
2

Novi opasan virus (Virus.Win32.Gpcode)
Pagination Prethodna strana

Idi na vrh

Poslao: 10 Jun 2008 19:39
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Pozdrav drustvo.

Prvo, Symantec i KLab ne koriste istu konvenciju za oznacavanje, tako da ne mozete zakljuciti da li je rec o istoj verziji na osnovu tih oznaka.

I ja sam prethodnih dana ucestvovao u istrazi, tj. nalazenju izvora zaraze.
Otkrio sam da obicno linkovi iz komentara na Blogspotu i Bloggeru, kao i iz poruka u news grupama (Usenet), vode ka sajovima sa eksploitom koji ce da skine i startuje ovaj virus.
Onaj koji je ostavljao komentar obicno je koristio neko indijsko ime, odnosno mail adresu na GMailu tipa: bramarajam123[at]gmail.com
Obavezno tri broja na kraju.
Ovo ne znaci da ce i u buduce koristiti istu shemu.
Poruke su na engleskom, prepune gramatickih i pravopisnih gresaka (clich umesto click i slicno).
Sadrzaj poruka je uglavnom bio o tabletama (pretpostavljate vec kojim), slikama raznih glumica i manekenki itd.

AV vendori imaju primerke virusa, ali za sada nemaju nacina za povracaj podataka.
Jedina sreca vam moze biti da ga AV otkrije pre nego sto napravi neku stetu.

Za ranije verzije je Dr.Web bio najuspesniji u pisanju rutina za povracaj kriptovanih datoteka. To je bila posledica toga sto je autor virusa imao gresku u algoritmu za enkriptovanje, pa je povratak bio moguc.
Sada se autor odlucio za proverenu (PGP) enkripciju, ogromne duzine kljuca.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Poslao: 10 Jun 2008 22:16
Idi na vrh
offline
  • akuci  Male
  • Legendarni građanin
  • Aleksandar
  • Pridružio: 11 Maj 2008
  • Poruke: 2758
  • Gde živiš: Novi Sad

Da li se očekuje program za otključavanje(dekriptovanje) i kada?Da li može biti i neki drugi izvor zaraze, na primer:e-mail, cr**k ili w**ez sajtovi?



Poslao: 10 Jun 2008 22:36
Idi na vrh
offline
  • Pridružio: 14 Mar 2004
  • Poruke: 1190
  • Gde živiš: Ispod nivoa mora

Када провале алгоритам, онда ће га бити. Разбијање 1024бит кода могу само суперкомпјутери. Тако да то није јен два...

Dopuna: 10 Jun 2008 22:36

ПРочитај горе какав је то посао. 15 милиона рачунара који би радили годину дана :С

Poslao: 10 Jun 2008 22:38
Idi na vrh
offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

@bobby

Ako kažeš da se radi o nečemu što nije da tako kažem profi odrađeno onda mi to ne liči na neku ozbiljniju grupu/ekipu. Dancho Danchev je ovde došao do toga da iako trag vodi do kineskih IP adresa iza toga stoje Rusi. Da li je i ovo delo RBN ili je iz svega ovoga moguće zaključiti da ima više istih/sličnih izvora infekcije?
bobby ::Jedina sreca vam moze biti da ga AV otkrije pre nego sto napravi neku stetu.
Šta bi po tebi (u dve-tri rečenice) bio adekvatan (može i teoretski idealan) odgovor AV/IS-a na ovu gamad?

Poslao: 14 Jun 2008 16:02
Idi na vrh
offline
  • diarno  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 15 Jun 2007
  • Poruke: 5572

Recovery Originalnih Fajlova

At the moment, it's not possible to decrypt files encrypted by Gpcode. However, you can use PhotoRec to recover your original files which were deleted by Gpcode after the virus created an encrypted version of the files.


Arrow http://www.viruslist.com/en/viruses/encyclopedia?virusid=313444#doc2

Poslao: 14 Jun 2008 20:34
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

@DEMIAN
RBN ide na drugi nacin zgrtanja love, ne lici ovo na njih. Ovo vise lici na tim od jednog coveka.
Ranije verzije su imale greske u algoritmu za kriptovanje. Ova verzija koristi provereni PGP (jedan kljuc za zakljucavanje, drugi za otkljucavanje).

Adekvatan odgovor na sve ovo bi mogla dati samo policija hapsenjem pisca virusa, ali za sada ni na zapadu nema jos adekvatnih akcija policije u ovakvim slucajevima, a kamoli na dalekom istoku.

@diarno
Strava, nikada mi ne bi palo na pamet.
Eto, jos jedna greska u implementaciji. Umesto da radi na vec postojecem fajlu, on brise original i kreira novi fajl (kriptovani).
Problem je sto ne pomaze ni ovo bas puno jer je mala verovatnoca da blok na disku pregazen jos u toku samog kreiranja kriptovanih fajlova.

Poslao: 17 Jun 2008 04:41
Idi na vrh
offline
  • Pridružio: 28 Apr 2005
  • Poruke: 3686
  • Gde živiš: The Circle

http://www.f-secure.com/v-descs/gpcode.shtml


NAME: Gpcode
ALIAS: Virus.Win32.Gpcode, PGPcoder, Trojan.Pgpcoder, Gpcode
SIZE: 56832

Summary

Gpcode is a trojan that encrypts files with certain extensions on local and remote drives and then asks a user to contact its author to buy a decryption solution. So basically the trojan makes user's files hostages and asks for a ransom to "free" them. This is a type of criminal activity that has not been seen for a long time.

VARIANT: Virus.Win32.Gpcode.b
Disinfection


F-Secure Anti-Virus can detect and decrypt files encrypted by Gpcode trojan as well as it can detect and remove the trojan's file. If you are hit by this trojan and your files are encrypted, please scan ALL files on your hard disk and they will be decrypted.

Dali su i Detailed Description kako napast f-nise....

Poslao: 17 Jun 2008 05:34
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

@Matrix
To je za varijantu B, trenutno je aktuelna varijanta AK.

Poslao: 20 Jun 2008 13:24
Idi na vrh
offline
  • Rogi  Male
  • Mod u pemziji
  • Najbolji košarkaš koji
  • je ikada igrao ovu igru
  • Pridružio: 31 Avg 2005
  • Poruke: 11687

Enkripcioni virus se širi

Kompanija Kaspersky Labs je objavila savet za korisnike kako da povrate fajlove koji su enkriptovani od strane Gpcode.ak virusa, ali tu postoji veliki problem vezan za ovaj savet. Korisnici, naime ne smeju da nakon što su pirmetili da ih je pomenuti virus napao, odnosno enkriptovao njihove fajlove, niti da isključuju svoje računare niti da ih restartuju, jer to može da dovede do permanentnog gubitka fajlova. Iako na prvi pogled ostvarivanje ovog zahteva ne izgleda teško, situacija je upravo obrnuta. Najveći broj korisnika kada primeti da su žrtve virusa, spyware-a ili nekog drugog zlonamernog virusa, kao prvu stvar koju će da uradi primeni restartovanje računara.

Izvor: http://www.itsvet.com/arhiva/2008-06-20#16563

Poslao: 29 Nov 2008 08:33
Idi na vrh
offline
  • Pridružio: 25 Mar 2004
  • Poruke: 816

Primećena je nova verzija GPcode-a. Oglasio se za sada samo TrendMicro http://blog.trendmicro.com/new-gpcode-trojan-holds-victims-files-hostage/

Nije navedeno šta je sve izmenjeno u novoj verziji, tj. pitanje je da li virus još uvek pravi kopiju fajla koju enkriptuje a da original briše (zahvaljujući tome moguć je bio povratak fajlova). Enkriptovani fajlovi nose .XNC ekstenziju a za njihovu dekripciju traži 200£. Savet je da se redovno vrši backup (ili drugi operativni sistem).

MyCity » Zaštita od zlonamernih programa » Novi opasan virus (Virus.Win32.Gpcode)

Ko je trenutno na forumu
 

Ukupno su 1263 korisnika na forumu :: 41 registrovanih, 5 sakrivenih i 1217 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: Aleksandar Tomić, Apok, baza, Belac91, Bobrock1, cifra, dekan.m, DonRumataEstorski, Dzoni90, GORDI, goxsys, Haris, HrcAk47, ivica976, Krusarac, Kubovac, kuntalo, kybonacci, loon123, Marko Marković, mačković, Mercury, Metanoja, Mi lao shu, milenko crazy north, milos.cbr, nebidrag, nebkv, nextyamb, pacika, Panter, Parker, Povratak1912, Prometeus, RJ, sasa87, Tvrtko I, Vatreni Zmaj, voja64, wolf431, yrraf