ichito Opublikowano 2 Grudnia 2010 Zgłoś Udostępnij Opublikowano 2 Grudnia 2010 (edytowane) Nie wiem, czy to temat na "RR", ale jakoś nie bardzo gdzie miałem go włożyć...Kaspersky Lab poinformował, że otrzymał zgłoszenia od użytkowników o pojawieniu się odrodzonej wersji słynnego jeszcze 2 lata temu trojana GpCode. Trojan ten to istna "wredota", a jego nowa odmiana szykuje jeszcze więcej niespodzianek...trojan stał się jeszcze bardziej "przebiegły", a skutki jego działania jak na razie nie są do odwrócenia. Kilka obszernych cytatów z artykułu: "GpCode został po raz pierwszy wykryty w 2004 roku, następnie, aż do 2008 r. pojawiał się prawie co roku. Od tego czasu jego autor ucichł. Kilku naśladowców stworzyło imitacje GpCode’a, jednak w większości były to zwykłe strachy na lachy, a nie rzeczywiste zagrożenia, ponieważ nie wykorzystywały mocnych algorytmów szyfrowania. Jak już wspominaliśmy wcześniej, ten typ szkodliwego oprogramowania jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są niewielkie. W praktyce oznacza to niemal trwałe usunięcie danych z dysku twardego. W 2006 i 2008 roku zaproponowaliśmy kilka sposobów odzyskiwania, a nawet deszyfrowania danych przy pomocy naszych specjalnych narzędzi. GpCode powrócił, silniejszy niż wcześniej. W przeciwieństwie do wcześniejszych wariantów nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, takiego jak PhotoRec, które zaproponowaliśmy podczas ostatniego ataku. Wstępna analiza wykazała, że jako algorytmów szyfrowania użyto RSA-1024 i AES-256. Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu. Szkodnik jest wykrywany przez Kaspersky Lab jako Trojan-Ransom.Win32.GpCode.ax." Jeśli więc dostaniecie na ekranie monitora takie okienko notatnika - konieczne jest natychmiastowe wyłączenie komputera...jeśli szybciej jest wyjąć wtyczkę z kontaktu, trzeba to zrobić! Drugim objawem infekcji jest podmiana tapety na ekranie na taki komunikat Kaspersky Lab zapowiada kolejne komunikaty w sprawie Źródło http://www.viruslist.pl/weblog.html Edytowane 2 Grudnia 2010 przez picasso Takie tematy śmiało w "Oprogramowaniu zabezpieczającym". Formuła działu dopuszcza alerty o nowym zagrożeniu i dyskusję na ten temat. Przenoszę. //picasso Odnośnik do komentarza
Anonim2 Opublikowano 2 Grudnia 2010 Zgłoś Udostępnij Opublikowano 2 Grudnia 2010 Wiadomo jakie jeszcze antywirusy wykrywają tego trojana i czy inne aplikacje zabezpieczające (hipsy, piaskownice, wirtualizery) radzą sobie z nim? W jaki sposób można zainfekować kompa tym wirusem? Odnośnik do komentarza
LikwidatoR Opublikowano 2 Grudnia 2010 Zgłoś Udostępnij Opublikowano 2 Grudnia 2010 Czytałem o tym parę dni temu na blogu Kasperskyego. Tak Jurek wykrywają bo to podstawowe znane zagrożenie. To jakby Confickera nie wykrywały Av. a wykrywają. Potestowałbym te zagrożenie , tylko skąd próbkę skołować? Choć od razu trzeba go pewnie do piaskownicy zapakować z poziomu przeglądarki bo pewnie działa jako samo zapłon Co do infekcji , nie wiadomo, nie napisali, choć wspomnieli jak jakieś nowe rzeczy odkryją o tym szkodniku to dopiszą Bardzo możliwe,że infekcja jest możliwa , jak tylko wejdziemy na zainfekowaną stronę bez ściągania niczego. W końcu to wyrafinowany szkodnik , popatrz jakie ma szyfrowanie , koleś się postarał więc raczej w sposób złapania infekcji powinien być również oryginalny Odnośnik do komentarza
ichito Opublikowano 2 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2010 Na MyBroadband.co.za "Trojan-Ransom.Win32.GpCode.ax spreads via infected sites, exploiting vulnerabilities in Adobe Reader, Java, Quicktime Player, or Adobe Flash." http://mybroadband.c...s-Internet.html Na Securelist.com "The program spreads via malicious websites and P2P networks." http://www.securelis...ertid=203996092 Tu lista aktywności ostatniego wydania trojana - co instaluje, jakich zmian w systemie dokonuje, jaka jest jego dodatkowa aktywność http://www.securelis...Win32.Gpcode.ax --------------------- edit: kilka nowych informacji wyszperanych w sieci: Podobno MD5 pliku trojana to 4d372a3a6d9055698b9a44e1058443c4 http://www.offensive...et/?q=node/1677 Trojan atakuje również MBR i ta odmiana GpCode - Trojan.Win32.Oficla.cw. - żąda 100$ za możliwość odzyskania plików. Odkryto również nową modyfikację pod nazwą Trojan-Ransom.Win32.Seftad. Zaleca się w tym przypadku zastosowanie Kaspersky Virus Removal Tool 2010 http://www.securelis..._MBR_Ransomware Sophos również informuje o GpCode - u nich wykrywany jest jako Troj/Ransom-U, natomiast zgłoszona odmiana wykryta w plikach PDF nosi nazwę Troj/PDFJS-FL. Krótki cyctat z artykułu: "Files with the following extensions can be affected: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, and .xlsx. The easiest way to identify files that have been meddled with is that their filenames will have been changed to include the suffix ".ENCODED". http://nakedsecurity...ck-demands-120/ Odnośnik do komentarza
LikwidatoR Opublikowano 2 Grudnia 2010 Zgłoś Udostępnij Opublikowano 2 Grudnia 2010 Czyli standard, exploity wykorzystujące luki w produktach adobe, javie. W sumie produkty firmy Adobe strasznie ostatnio dziurawe są, bardzo dużo luk jest wykrywanych no i infekcje na stronach czyli dobrze przeczuwałem Może na MDL będzie ten szkodnik Odnośnik do komentarza
Rekomendowane odpowiedzi