UPOZORENJE: Trojanac ucenjuje korisnike
Opisi virusa, 01.12.2010, 02:32 AM
![UPOZORENJE: Trojanac ucenjuje korisnike](/thumbs/v2_2756_hijack29_wideweb__470x349,2.jpg)
Stručnjaci su upozorili korisnike Windowsa na iznenadan povratak na scenu jedne od najopasnijih porodica malicioznog softvera, takozvanom ransomware malicioznom programu (ransom, engl. - otkup, ucena), koji kodira fajlove na zaraženom računaru pre nego zatraži otkup za ključ kojim žrtva može da dekodira fajlove.
U krugovima stručnjaka, GpCode je na lošem glasu ali se srećom pojavljuje veoma retko, otprilike na svakih godinu i po dana, počev od svog debitantskog “nastupa” 2004. godine, a svako njegovo pojavljivanje donosi nam sve sofisticiraniju verziju ovog malicioznog programa.
Prema analizi stručnjaka kompanije Kaspersky Lab, Vitalija Kamlukova, najnovija verzija programa, Trojan-Ransom.Win32.GpCode.ax, funkcioniše na sličan način kao i starije verzije i opasna je kao i njeni prethodnici.
GpCode je otkriven 2004. godine i od tada su se njegove novije verzije pojavljivavale skoro svake godine sve do 2008. godine. Od tada, njegovi autori su se primirili a tokom tog perioda pojavilo se nekoliko malicioznih programa koji imitiraju GpCode ali koji nisu predstavljali stvarnu pretnju po bezbednost korisničkih računara zato što nisu koristili moćne kriptografske algoritme.
Program je vaoma opasan zato što su šanse da ćete povratiti svoje podatke veoma male. Skoro da su posledice iste kao i kod trajnog uklanjanja podataka sa hard diska.
Novi GpCode je moćniji nego ikada pre. Za razliku od svoji prethodnika, on ne briše fajlove nakon enkripcije. Umesto toga, novi GpCode zamenjuje podatke drugima, što kasnije programe za oporavak i povraćaj podataka, čini neupotrebljivim.
Preliminarne analize pokazuju da su RSA-1024 i AES-256 korišćeni kao algoritmi. GpCode vrši enkripciju samo jednog dela fajla, počevši od prvog bajta.
Ukoliko mislite da je i vaš računar zaražen, najbolje bi bilo da ne menjate bilo šta na svom sistemu jer to kasnije može sprečiti primenu rešenja za povraćaj podataka koje će svakako biti pronađeno. Bolje je da ugasite računar ili ga restartujete uprkos tvrdnjama autora GpCode da se fajlovi brišu posle određenog broja dana, kažu iz kompanije Kaspersky Lab. Za sada, nema dokaza da postoji mehanizam za brisanje fajlova koji je vremenski određen.
Korisnici bi trebalo da znaju da prepoznaju GpCode onog trenutka kada se pojavi upozorenje na ekranu. Pritisak na Reset ili Power dugme u tom trenutku može vam sačuvati značajan broj vrednih podataka. Bilo bi poželjno da i svoje prijatelje obavestite da treba da obrate pažnju na notepad fajl sa tekstom kao na slici:
Nemojte oklevati nego isključite svoj računar odmah, ako vam je tako brže možete izvući i kabl iz napajanja na svom računaru.
Još jedan znak infekcije je izmena desktop pozadine kao na slici ispod:
Kaspersky Lab je objavio i da su otkrivena još dva maliciozna programa ovog tipa (ransomware), manje sofisticiran nego što je to slučaj sa Trojan-Ransom.Win32.GpCode.ax. Reč je o Trojan-Ransom.Win32.Seftad.a i Trojan-Ransom.Boot.Seftad.a, koji zahtevaju otkup od korisnika nakon što se kopiraju u MBR (master boot record) hard diska i restartuju računar.
Ove maliciozne programe preuzima Trojan.Win32.Oficla.cw. Ukoliko Trojanac Oficla.cw. preuzme i pokrene Seftad.a, računar se restartuje i na ekranu se pojavljuje sledeća poruka:
Naravno, korisnik zaraženog računara ne zna lozinku, pa će se nakon tri neuspešna pokušaja, kompjuter restartovati i ista poruka će se pojaviti na ekranu.
Na sreću, zahtev za otkupom u vrednosti od 100 dolara preko sajta i tvrdnja da je hard disk kodiran je blef. Fajlovi na hard disku nisu kodirani kako tvrdi autor malicioznog programa - ransomware samo preko originalnogi MBR prepisuje maliciozni MBR.
Ukoliko je vaš računar zaražen nekim od ovih programa, nemojte posećivati veb-sajt autora malwarea. Koristite lozinku “aaaaaaciip” (bez navodnika) kako bi vratili MBR u početno stanje. Ukoliko ta lozinka ne funkcioniše, pokušajte sa Kaspersky Rescue Disk 10.
![Kaspersky](/s1n.jpg)
Izdvojeno
U toku je operacija čišćenja hiljade računara od malvera PlugX
![U toku je operacija čišćenja hiljade računara od malvera PlugX](/thumbs/v1_8836_screenshot-images.unsplash.com-2024.07.png)
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža
![Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža](/thumbs/v2_6340_philipp-katzenberger-iIJrUoeRoCQ-unsplash (9).jpg)
Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje
Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka
![Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka](/thumbs/v2_4639_pexels-padrinan-1591062.jpg)
Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje
Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa
![Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa](/thumbs/v2_9428_sumudu-mohottige-bIgpii04UIg-unsplash (2).jpg)
Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje
Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace
![Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace](/thumbs/v1_3266_GDATA_Badspace_InfectionChain.png)
Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje
Pratite nas
Nagrade