Российские антивирусные компании "Лаборатория Касперского" и "Доктор Веб" зафиксировали на трерритории России активность новой модификации троянской программы "GPCode" или "Trojan.Encoder". Основное вредоносное действие этого вируса - шифровка файлов различных расширений("rtf", "txt", "pdf", "csv", "frm", "css", "xls", "mdb", "dbf", "dbt", "db", "safe", "flb", "pst", "pwl", "pwa", "pak", "rar", "zip", "arj", "gz", "tar", "sar", "htm", "html", "cgi", "pl", "kwm", "pwm", "cdr", "dbx", "mmf", "tbb", "xml", "frt", "frx", "gtd", "rmr", "chm", "mo", "man", "c", "cpp", "h", "pgp", "gzip", "lst", "pfx", "p12", "db1", "db2", "cnt", "sig", "css", "arh", "pem", "key", "prf", "old", "rnd", "prx") с использованием алгоритма шифрования RSA. В дальнейшем автор вируса требует от своих жертв деньги за дешифровку, свой адрес шантажист сообщает в текстовом файле, создающимся после шифрования:
"Some files are coded.
To buy decoder mail: xxx@xxxxx
with subject: RSA xxxxxxxxxxxx"
Распространяется этот троян по электронной почте и, по непроверенным данным, используя уязвимости в ОС MS Windows. После выполнения шифровки оригинальный файл вируса удаляется. E-mail и тема в файле сообщения, оставляемом трояном, могут меняться в зависимости от модификации вируса. Для защиты от вируса и его обнаружения рекомендуется установить последнии обновления баз антивирусных программ. Для расшифровки зараженных файлов можно воспользоваться специализированной утилитой дешифровки, выпущенной "Доктором Вебом", а также онлайн-сервисом доступном на веб-сайте антивирусной компании.
Онлайн-сервис дешифровки файлов