UPOZORENJE: Trojanac ucenjuje korisnike

Opisi virusa, 01.12.2010, 02:32 AM

UPOZORENJE: Trojanac ucenjuje korisnike

Stručnjaci su upozorili korisnike Windowsa na iznenadan povratak na scenu jedne od najopasnijih porodica malicioznog softvera, takozvanom ransomware malicioznom programu (ransom, engl. - otkup, ucena), koji kodira fajlove na zaraženom računaru pre nego zatraži otkup za ključ kojim žrtva može da dekodira fajlove.

U krugovima stručnjaka, GpCode je na lošem glasu ali se srećom pojavljuje veoma retko, otprilike na svakih godinu i po dana, počev od svog debitantskog “nastupa” 2004. godine, a svako njegovo pojavljivanje donosi nam sve sofisticiraniju verziju ovog malicioznog programa.

Prema analizi stručnjaka kompanije Kaspersky Lab, Vitalija Kamlukova, najnovija verzija programa, Trojan-Ransom.Win32.GpCode.ax, funkcioniše na sličan način kao i starije verzije i opasna je kao i njeni prethodnici.

GpCode je otkriven 2004. godine i od tada su se njegove novije verzije pojavljivavale skoro svake godine sve do 2008. godine. Od tada, njegovi autori su se primirili a tokom tog perioda pojavilo se nekoliko malicioznih programa koji imitiraju GpCode ali koji nisu predstavljali stvarnu pretnju po bezbednost korisničkih računara zato što nisu koristili moćne kriptografske algoritme.

Program je vaoma opasan zato što su šanse da ćete povratiti svoje podatke veoma male. Skoro da su posledice iste kao i kod trajnog uklanjanja podataka sa hard diska.

Novi GpCode je moćniji nego ikada pre. Za razliku od svoji prethodnika, on ne briše fajlove nakon enkripcije. Umesto toga, novi GpCode zamenjuje podatke drugima, što kasnije programe za oporavak i povraćaj podataka, čini neupotrebljivim.

Preliminarne analize pokazuju da su RSA-1024 i AES-256 korišćeni kao algoritmi. GpCode vrši enkripciju samo jednog dela fajla, počevši od prvog bajta.

Ukoliko mislite da je i vaš računar zaražen, najbolje bi bilo da ne menjate bilo šta na svom sistemu jer to kasnije može sprečiti primenu rešenja za povraćaj podataka koje će svakako biti pronađeno. Bolje je da ugasite računar ili ga restartujete uprkos tvrdnjama autora GpCode da se fajlovi brišu posle određenog broja dana, kažu iz kompanije Kaspersky Lab. Za sada, nema dokaza da postoji mehanizam za brisanje fajlova koji je vremenski određen.

Korisnici bi trebalo da znaju da prepoznaju GpCode onog trenutka kada se pojavi upozorenje na ekranu. Pritisak na Reset ili Power dugme u tom trenutku može vam sačuvati značajan broj vrednih podataka. Bilo bi poželjno da i svoje prijatelje obavestite da treba da obrate pažnju na notepad fajl sa tekstom kao na slici:

Nemojte oklevati nego isključite svoj računar odmah, ako vam je tako brže možete izvući i kabl iz napajanja na svom računaru.

Još jedan znak infekcije je izmena desktop pozadine kao na slici ispod:

Kaspersky Lab je objavio i da su otkrivena još dva maliciozna programa ovog tipa (ransomware), manje sofisticiran nego što je to slučaj sa Trojan-Ransom.Win32.GpCode.ax. Reč je o Trojan-Ransom.Win32.Seftad.a i Trojan-Ransom.Boot.Seftad.a, koji zahtevaju otkup od korisnika nakon što se kopiraju u MBR (master boot record) hard diska i restartuju računar.

Ove maliciozne programe preuzima Trojan.Win32.Oficla.cw. Ukoliko Trojanac Oficla.cw. preuzme i pokrene Seftad.a, računar se restartuje i na ekranu se pojavljuje sledeća poruka:

Naravno, korisnik zaraženog računara ne zna lozinku, pa će se nakon tri neuspešna pokušaja, kompjuter restartovati i ista poruka će se pojaviti na ekranu.

Na sreću, zahtev za otkupom u vrednosti od 100 dolara preko sajta i tvrdnja da je hard disk kodiran je blef. Fajlovi na hard disku nisu kodirani kako tvrdi autor malicioznog programa - ransomware samo preko originalnogi MBR prepisuje maliciozni MBR.

Ukoliko je vaš računar zaražen nekim od ovih programa, nemojte posećivati veb-sajt autora malwarea. Koristite lozinku “aaaaaaciip” (bez navodnika) kako bi vratili MBR u početno stanje. Ukoliko ta lozinka ne funkcioniše, pokušajte sa Kaspersky Rescue Disk 10.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje