Security Lab

Virus.Win32.Gpcode.ae

Virus.Win32.Gpcode.ae

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере.

Вредоносная программа, шифрующая пользовательские файлы на зараженном компьютере. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер в пакованом виде — примерно 62 КБ, размер в распакованном виде — примерно 134 КБ.

Данная вредоносная программа была широко распространена в российском сегменте сети интернет при помощи спам-рассылки.

После запуска вирус шифрует все найденные на диске зараженного компьютера файлы со следующими расширениями:

12m
3ds
3dx
4ge
4gl
a
a86
abc
acd
ace
act
ada
adi
aex
af3
afd
ag4
ai
aif
aifc
aiff
ain
aio
ais
akf
alv
amp
ans
ap
apa
apo
app
arc
arh
arj
arx
asc
ask
bb
bcp
bdb
bh
bib
bsa
btr
bup
bwb
bz
c
c86
cac
cat
cbl
cc
cdb
cdr
cgi
cmd
cnt
cob
col
cpp
cpt
crp
cru
csc
css
csv
ctx
cvs
cwb
cwk
cxe
cyp
d
db
db0
db1
db2
db3
db4
dba
dbb
dbc
dbd
dbe
dbf
dbk
dbm
dbo
dbq
dbt
dbx
dic
dif
dm
dmd
doc
dok
dox
dsc
dwg
dxf
dxr
eps
exp
f
fas
fax
fdb
fla
flb
fm
fox
frm
frt
frx
fsl
gtd
gz
gzip
h
ha
hh
hjt
hog
htm
html
htx
ice
icf
ihtml
ish
jar
jsp
key
kwm
lst
lwp
lzh
lzs
lzw
ma
mak
man
maq
mar
mbx
mdb
mdf
mmf
mo
myd
old
p12
pak
pdf
pem
pfx
pgp
pl
pm3
pm4
pm5
pm6
ppt
prf
prx
ps
pst
pw
pwa
pwl
pwm
pwp
pxl
rar
rle
rmr
rnd
rtf
safe
sar
sig
sln
swf
tar
tbb
tex
tga
txt
vp
xcr
xls
xml
zip
zoo

Для шифрования частично используется алгоритм RSA 260-bit.

Зашифрованные пользовательские файлы невозможно использовать в дальнейшем, что дает возможность злоумышленникам вымогать у пострадавших денежные средства.

В папках с зашифрованными файлами вирус создает файлы с именем readme.txt следующего содержания:

Some files are coded by RSA method.
To buy decoder mail: k6**89@mail.ru
with subject: REPLY

Адрес email может меняться в различных модификациях данного вируса.

При обращении по указанному адресу пострадавшим предлагается заплатить определенную сумму за расшифровку необходимых им файлов.

Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными неизвестными почтовыми сообщениями и неизвестными файлами.

Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом для создания новых версий вредоносной программы.

После процедуры шифрования вирус создает файл TMP.BAT, который содержит код, удаляющий исходный файл вредоносной программы.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!