UPOZORENJE: Trojanac ucenjuje korisnike

Opisi virusa, 01.12.2010, 02:32 AM

UPOZORENJE: Trojanac ucenjuje korisnike

Stručnjaci su upozorili korisnike Windowsa na iznenadan povratak na scenu jedne od najopasnijih porodica malicioznog softvera, takozvanom ransomware malicioznom programu (ransom, engl. - otkup, ucena), koji kodira fajlove na zaraženom računaru pre nego zatraži otkup za ključ kojim žrtva može da dekodira fajlove.

U krugovima stručnjaka, GpCode je na lošem glasu ali se srećom pojavljuje veoma retko, otprilike na svakih godinu i po dana, počev od svog debitantskog “nastupa” 2004. godine, a svako njegovo pojavljivanje donosi nam sve sofisticiraniju verziju ovog malicioznog programa.

Prema analizi stručnjaka kompanije Kaspersky Lab, Vitalija Kamlukova, najnovija verzija programa, Trojan-Ransom.Win32.GpCode.ax, funkcioniše na sličan način kao i starije verzije i opasna je kao i njeni prethodnici.

GpCode je otkriven 2004. godine i od tada su se njegove novije verzije pojavljivavale skoro svake godine sve do 2008. godine. Od tada, njegovi autori su se primirili a tokom tog perioda pojavilo se nekoliko malicioznih programa koji imitiraju GpCode ali koji nisu predstavljali stvarnu pretnju po bezbednost korisničkih računara zato što nisu koristili moćne kriptografske algoritme.

Program je vaoma opasan zato što su šanse da ćete povratiti svoje podatke veoma male. Skoro da su posledice iste kao i kod trajnog uklanjanja podataka sa hard diska.

Novi GpCode je moćniji nego ikada pre. Za razliku od svoji prethodnika, on ne briše fajlove nakon enkripcije. Umesto toga, novi GpCode zamenjuje podatke drugima, što kasnije programe za oporavak i povraćaj podataka, čini neupotrebljivim.

Preliminarne analize pokazuju da su RSA-1024 i AES-256 korišćeni kao algoritmi. GpCode vrši enkripciju samo jednog dela fajla, počevši od prvog bajta.

Ukoliko mislite da je i vaš računar zaražen, najbolje bi bilo da ne menjate bilo šta na svom sistemu jer to kasnije može sprečiti primenu rešenja za povraćaj podataka koje će svakako biti pronađeno. Bolje je da ugasite računar ili ga restartujete uprkos tvrdnjama autora GpCode da se fajlovi brišu posle određenog broja dana, kažu iz kompanije Kaspersky Lab. Za sada, nema dokaza da postoji mehanizam za brisanje fajlova koji je vremenski određen.

Korisnici bi trebalo da znaju da prepoznaju GpCode onog trenutka kada se pojavi upozorenje na ekranu. Pritisak na Reset ili Power dugme u tom trenutku može vam sačuvati značajan broj vrednih podataka. Bilo bi poželjno da i svoje prijatelje obavestite da treba da obrate pažnju na notepad fajl sa tekstom kao na slici:

Nemojte oklevati nego isključite svoj računar odmah, ako vam je tako brže možete izvući i kabl iz napajanja na svom računaru.

Još jedan znak infekcije je izmena desktop pozadine kao na slici ispod:

Kaspersky Lab je objavio i da su otkrivena još dva maliciozna programa ovog tipa (ransomware), manje sofisticiran nego što je to slučaj sa Trojan-Ransom.Win32.GpCode.ax. Reč je o Trojan-Ransom.Win32.Seftad.a i Trojan-Ransom.Boot.Seftad.a, koji zahtevaju otkup od korisnika nakon što se kopiraju u MBR (master boot record) hard diska i restartuju računar.

Ove maliciozne programe preuzima Trojan.Win32.Oficla.cw. Ukoliko Trojanac Oficla.cw. preuzme i pokrene Seftad.a, računar se restartuje i na ekranu se pojavljuje sledeća poruka:

Naravno, korisnik zaraženog računara ne zna lozinku, pa će se nakon tri neuspešna pokušaja, kompjuter restartovati i ista poruka će se pojaviti na ekranu.

Na sreću, zahtev za otkupom u vrednosti od 100 dolara preko sajta i tvrdnja da je hard disk kodiran je blef. Fajlovi na hard disku nisu kodirani kako tvrdi autor malicioznog programa - ransomware samo preko originalnogi MBR prepisuje maliciozni MBR.

Ukoliko je vaš računar zaražen nekim od ovih programa, nemojte posećivati veb-sajt autora malwarea. Koristite lozinku “aaaaaaciip” (bez navodnika) kako bi vratili MBR u početno stanje. Ukoliko ta lozinka ne funkcioniše, pokušajte sa Kaspersky Rescue Disk 10.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje