Техническое описание GPCode

Образец, программы-вымогателя Gpcode, что обнаружен в ноябре 2010 и, как было установлено, был упакован при помощи UPX. На сегодняшний день, эта используется UPX, однако не самостоятельно. На деле, современные киберпреступники используют уникальную, собственную защиту своего файла, дабы усложнить и без этого не простой анализ, а также обратный инжиниринг. Конечно, описание процесса распаковки отняло бы слишком много места и поэтому для защиты подобной программы-вымогателя чаще всего используется обфускация или же стандартные приемы, что встречаются в многочисленных современных вредоносных упаковщиках. Что происходит далее? После распаковки нашего образца, мы видим, что он весьма похож на предыдущий. Так в имеющуюся ресурсную секцию упомянутого файла легко внедрен зашифрованный файл вредитель конфигурации. После расшифровки, мы видим, что он имеет параметр N, что частично скрыт. Данный параметр, это не что иное, как 1024-битовое число. Важно заметить, что описываемый параметр значительно отличается от того, что был выявлен в прежней ноябрьской версии. Если же пользователь «заражен», рекомендуется в системе ничего не менять. Лучше выключить или перезапустить ПК. А заявления спамера о том, что определенные файлы удаляются после N дней, лучше игнорировать. Повторим: нашли вредителя — не мешкая ни секунды, выключаем компьютер или выдергиваем шнур из розетки, вдруг до него ближе! А самый эффективный способ восстановить ваши файлы, так это иметь резервные копии.