GPCode наносит ответный удар

By Главный редактор

148Николас Брулес Эксперт «Лаборатории Касперского» в сюжете: Gpcode, сообщает, что о новейшей разновидности программы-вымогателя Gpcode. Так специалистами Лаборатории Касперского был обнаружен новый вариант этого зловреда. Он имеет вид обфусцированного выполняемого файла. Но отмечается, что благодаря активным действиям Kaspersky Security Network, угроза была вскоре обнаружена. Теперь, упомянутый нами, зловред распознается как Trojan-Ransom.Win32.Gpcode.bn. Как происходит заражение? Очень просто, при посещении вредоносного сайта. Так, выполнившись, GPCode генерирует 256-битовый ключ для алгоритма шифрования AES, при этом, используется Windows Crypto API, а шифруется он с помощью публичного RSA 1024 ключа киберпреступника. Далее зашифрованный результат сбрасывается на рабочий стол зараженного ПК с требованием выкупа. Отметим, что программа просит отослать выкуп платежом использую карты Ukash. Предполагается, что киберпреступники меняют старые добрые денежные переводы на платежи предоплаченными картами. Далее фон рабочего стола уведомляет, что компьютер пользователя заражен и необходимо заплатить выкуп. Примечательно, что жесткие диски ПК сканируются, ища файлы для шифрования. Какие же файлы зашифровать, а какие все же оставить определяется по их расширению. Так в зашифрованном файле обычно указаны все необходимые расширения файлов, что должны быть зашифрованы. То есть, конфигурационный файл GPCode вполне легко обновить. Напомним, что упомянутый нами файл включает в текст сообщения требование выкупа, плюс публичный 1024-битовый RSA-код от зловредных преступников.