Witalij Kamliuk
30 listopada 2010 Trojan szantażysta GpCode powraca Witalij Kamliuk 6 maja 2010 Gumblar: żegnaj Japonio Witalij Kamliuk 23 października 2009 Czarny kapelusz traci kontrolę Witalij Kamliuk 19 sierpnia 2008 Nowy Gpcode - groźby bez pokrycia Witalij Kamliuk 12 sierpnia 2008 Gpcode - kolejny powrót Witalij Kamliuk 11 sierpnia 2008 not-a-virus:FraudTool.J2ME.KaspAV.a Witalij Kamliuk 27 czerwca 2008 Kolejny sposób przywrócenia plików po ataku Gpcode'a Witalij Kamliuk 20 czerwca 2008 Eksploity shockwave Witalij Kamliuk |
GpCode został po raz pierwszy wykryty w 2004 roku, następnie, aż do 2008 r. pojawiał się prawie co roku. Od tego czasu jego autor ucichł. Kilku naśladowców stworzyło imitacje GpCode’a, jednak w większości były to zwykłe strachy na lachy, a nie rzeczywiste zagrożenia, ponieważ nie wykorzystywały mocnych algorytmów szyfrowania.
Jak już wspominaliśmy wcześniej, ten typ szkodliwego oprogramowania jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są niewielkie. W praktyce oznacza to niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi.
GpCode powrócił, silniejszy niż wcześniej. W przeciwieństwie do...
Analizy
Blog
Ogólną architekturę systemu Gumblara opisywaliśmy już wcześniej. Jedyną rzeczą, jaka zmieniła się od tego czasu, jest liczba zhakowanych serwerów oraz dodatkowa warstwa serwerów w łańcuchu procesu infekcji. Proces infekcji rozpoczyna się teraz na legalnej stronie internetowej, do której wstrzyknięto znacznik <script> (html-redirector), który odnosi się do serwera z php (php-redirector) generującego javascript, który dalej przekierowuje przeglądarkę. Liczba takich przekierowań wynosi od jednego do czterech, na koniec przeglądarka pobiera zawartość z serwera, który jest właściwym infektorem....
Analizy
Blog
Ostatnio przyglądaliśmy się nowemu serwisowi online dla twórców szkodliwych programów: [avtracker dot info]. Celem tego serwisu jest śledzenie producentów oprogramowania antywirusowego. Na stronie głównej [avtracker dot info] znajduje się opis serwisu, który między innymi zapewnia ochronę szkodliwym programom przed analizą specjalistów ds. szkodliwego oprogramowania i nawołuje do ataków DDoS na firmy bezpieczeństwa:
Kilku naszych kolegów przekazało nam informacje dotyczące...
Z naszej analizy wynika, że trojan wykorzystuje algorytm 3DES, jednak autor wykopał gotowy komponent Delphi, zamiast zadawać sobie trud stworzenia własnej procedury szyfrowania. Kod trojana jest dość nieporządny - a jego styl bardzo różni się od poprzednich wersji Gpcode'a - co świadczy o tym, że autor nie jest dobrym programistą.
Ten nowy wariant wirusa nazwaliśmy Trojan-Ransom.Win32.Gpcode.am. Nasze antywirusowe bazy danych zawierają procedury przywracania zaszyfrowanych plików - tak więc jeśli padłeś ofiarą...
Analizy
Blog
Gdy trochę poszperaliśmy, znaleźliśmy próbkę odpowiadającą opisom podanym przez ofiary. Obecnie program jest rozprzestrzeniany za pośrednictwem botnetu. [nazwa nie została podana ze względów bezpieczeństwa].
Gpcode pozostawia plik tekstowy o nazwie crypted.txt, który zawiera żądanie zapłacenia 10 dolarów okupu. W pliku tym umieszczone są również dane kontaktowe autora: adres e-mail, numer ICQ i adres URL. Strona internetowa zawiera następujący tekst w języku rosyjskim (poniżej podajemy również tłumaczenie polskie):
Добрый день.
Для вас 3 новости, не очень хорошая и две очень хороших и Начнем мы с неочень хорошей.
Неочень хорошая новость...
Analizy
Blog
Na początku myśleliśmy, że to nowy program wykorzystywany do kradzieży pieniędzy z kont użytkowników, jednak po sprawdzeniu jego zachowania doszliśmy do wniosku, że to tylko pokaz - wygląda na to, że ktoś się nieźle bawi. Program nie modyfikuje systemu ani nie próbuje kraść pieniędzy.
Mimo że program sam w sobie nie jest szkodliwy, wykrywamy go jako FraudTool. Chociaż można go bezpiecznie uruchomić, uważamy, że użytkownicy powinni o nim wiedzieć. Ponieważ nie jest szkodliwy, dodaliśmy do jego nazwy przedrostek not-a-virus. Jeśli pojawi się kolejna modyfikacja tej...
Okazuje się, że jeśli użytkownik posiada pliki zaszyfrowane przez Gpcode'a i niezaszyfrowane wersje tych plików, wtedy pary plików (zaszyfrowany i odpowiadającym mu niezaszyfrowany plik) mogą zostać wykorzystane do przywrócenia innych plików na zaatakowanej maszynie. Taką metodę wykorzystuje narzędzie StopGpcode2.
Gdzie można znaleźć te niezaszyfrowane pliki? Można wykorzystać do tego narzędzie PhotoRec. Ponadto, pliki te można znaleźć w folderze kopii zapasowych lub na nośniku przenośnym (np. oryginalne pliki zdjęć skopiowane na dysk twardy komputera zaatakowanego przez Gpcode'a mogą nadal znajdować się na karcie pamięci aparatu). Niezaszyfrowane pliki mogły również zostać zapisane w jakimś zasobie...