Благодаря Kaspersky Security Network «Лаборатория Касперского» обнаружила новый вариант зловреда GPCode. Угроза была автоматически обнаружена как UDS:DangerousObject.Multi.Generic, а далее было добавлено специфическое детектирование и теперь зловред распознается как Trojan-Ransom.Win32.Gpcode.bn. Заражение происходит при посещении вредоносного сайта с использованием скрытой загрузки через внедренный объект. После выполнения GPCode генерирует 256-битовый ключ для алгоритма шифрования AES, используя Windows Crypto API, и шифрует его с помощью публичного RSA 1024 ключа киберпреступника. Зашифрованный результат будет сброшен на рабочий стол зараженного компьютера внутри текстового файла с требованием выкупа. Важно отметить, что в отличие от образца ноября прошлого года, программа требует отправить выкуп платежом при помощи предоплаченных карт Ukash. Кстати, 24 марта был обнаружен ransomware-программу, которая маскировалась под сообщение от полиции ФРГ — этот вымогатель также требовал провести платеж картой Ukash. Похоже, киберпреступники уходят от привычных денежных переводов, предпочитая платежи предоплаченными картами. Сумма выкупа с ноября увеличилась с 120 до 125 долларов. В то же время меняется фон рабочего стола — он сообщает пользователю, что компьютер заражен и нужно заплатить выкуп. Жесткие диски компьютера сканируются в поисках файлов для шифрования. Решение о том, какие файлы зашифровать, а какие оставить, принимается по их расширению — в зашифрованном конфигурационном файле указаны все расширения файлов, которые должны быть зашифрованы. Это означает, что конфигурационный файл GPCode можно легко обновить. Этот файл включает текст сообщения с требованием выкупа, а также публичный 1024-битовый RSA-код от преступников. Образец, обнаруженный в ноябре 2010, был упакован при помощи UPX. В новом образце также используется UPX, но не самостоятельно. Фактически киберпреступники используют собственную защиту файла, чтобы усложнить его анализ и реверсинг. Описание всего процесса распаковки заняло бы слишком много места; в целом, для защиты данной программы-вымогателя используется кодирование и стандартные приемы, встречающиеся в современных вредоносных упаковщиках. После распаковки образец оказывается весьма похожим на ноябрьский. В ресурсную секцию файла внедрен зашифрованный файл конфигурации, где параметр N частично скрыт и представляет собой 1024-битовое число. Важно отметить, что параметр отличается от того, который был в ноябрьской версии. В случае заражения этим зловредом, в Лаборатории Касперского не рекомендуют применять каких-либо действий до тех пор пока не будет найден способ восстановления данных. Заявления автора вредоносной программы о том, что файлы удаляются после N дней, можно игнорировать — так как в коде зловреда не обнаружены свидетельства того, что существует временной механизм удаления файлов. Тем не менее, лучше всего воздержаться от любых изменений в файловой системе, включая те, что могут быть вызваны перезапуском компьютера. Пользователи должны знать о данной программе-вымогателе и быть готовы распознать его с первой же секунды, когда на экране отображается сообщение зловреда. Нажав кнопку перезапуска или выключения, вы можете сохранить значительную часть ваших данных. Зашифрованные файлы восстановить не получится — для шифрования используется достаточно стойкий криптоалгоритм. Единственный способ восстановить файлы — это использовать резервные копии.
Источник