Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Virus.Win32.Gpcode.ae

Jest to szkodliwy program szyfrujący pliki na zainfekowanych komputerach. Ma postać pliku PE EXE o rozmiarze około 62 KB (kompresja UPX, rozmiar po rozpakowaniu - około 134 KB). Program został rozesłany przy użyciu technologii spamowych w rosyjskim segmencie Internetu.

Po uruchomieniu wirus szyfruje pliki posiadające następujące rozszerzenia:

12m
3ds
3dx
4ge
4gl
a
a86
abc
acd
ace
act
ada
adi
aex
af3
afd
ag4
ai
aif
aifc
aiff
ain
aio
ais
akf
alv
amp
ans
ap
apa
apo
app
arc
arh
arj
arx
asc
ask
bb
bcp
bdb
bh
bib
bsa
btr
bup
bwb
bz
c
c86
cac
cat
cbl
cc
cdb
cdr
cgi
cmd
cnt
cob
col
cpp
cpt
crp
cru
csc
css
csv
ctx
cvs
cwb
cwk
cxe
cyp
d
db
db0
db1
db2
db3
db4
dba
dbb
dbc
dbd
dbe
dbf
dbk
dbm
dbo
dbq
dbt
dbx
dic
dif
dm
dmd
doc
dok
dox
dsc
dwg
dxf
dxr
eps
exp
f
fas
fax
fdb
fla
flb
fm
fox
frm
frt
frx
fsl
gtd
gz
gzip
h
ha
hh
hjt
hog
htm
html
htx
ice
icf
ihtml
ish
jar
jsp
key
kwm
lst
lwp
lzh
lzs
lzw
ma
mak
man
maq
mar
mbx
mdb
mdf
mmf
mo
myd
old
p12
pak
pdf
pem
pfx
pgp
pl
pm3
pm4
pm5
pm6
ppt
prf 
prx
ps
pst
pw
pwa
pwl
pwm
pwp
pxl
rar
rle
rmr
rnd
rtf
safe
sar
sig
sln
swf
tar
tbb
tex
tga
txt
vp
xcr
xls
xml
zip
zoo

Wirus wykorzystuje 260-bitowe szyfrowanie RSA.

Korzystanie z zaszyfrowanych plików jest niemożliwe. Za ich odszyfrowanie autor szkodnika żąda wpłacenia pieniędzy.

W każdym folderze zawierającym zaszyfrowane pliki tworzony jest plik readme.txt zawierający następujący tekst:

Some files are coded by RSA method.
To buy decoder mail: k6**89@mail.ru 
with subject: REPLY

(Pewne pliki zostały zaszyfrowane metodą RSA.M
Aby kupić dekoder, wyślij wiadomość o temacie REPLY na adres k47674@mail.ru)

Podany adres e-mail może się różnić w zależności od wersji wirusa.

Wszystkim użytkownikom, których komputery zostały zainfekowane tym wirusem zaleca się jak najszybsze wysłanie zaszyfrowanych plików do laboratorium firmy Kaspersky Lab. Pod żadnym pozorem nie należy ulegać szantażowi, ponieważ zachęci to autorów wirusów do tworzenia nowych wersji.

Po zakończeniu procedury szyfrowania wirus tworzy plik TMP.BAT. Służy on do usuwania oryginalnego kodu źródłowego z zainfekowanego komputera.

Usuwanie szkodnika z zainfekowanego systemu

W celu usunięcia szkodnika z systemu należy wykonać następujące operacje: