Троян-шифровальщик GpCode вернулся

[VSimanin 39]

В блогах экспертов «Лаборатории Касперского» появились сообщения о возвращении трояна-шифровальщика в ещё худшем виде...

Выставлен уровень опасности 2 (Обнаружена массовая почтовая рассылка вредоносной программы или вредоносная программа с уникальной, впервые реализованной функциональностью.)

Этот тип вредоносного ПО очень опасен, потому что шансы восстановить ваши данные невелики. Это почти то же самое, что безвозвратное удаление информации с жесткого диска.

Впервые GpCode был зарегистрирован в 2004 году. Затем он периодически появлялся вплоть до 2008 года. Были и подражатели, которые создали несколько имитаций GpCode, не представлявшие действительной угрозы, поскольку в них не использовались сильные криптографические логарифмы.

И в 2006, и в 2008 годах нам удавалось предложить несколько способов лечения и даже расшифровки данных с помощью наших инструментов дешифрования.

Сегодня GpCode вернулся — и он более сильный, чем раньше. Предварительный анализ показал, что для шифрования используются алгоритмы RS

-1024 и

ES-256. Зловред зашифровывает только часть файла, начиная с первого байта. В отличие от предыдущих вариантов, новая версия GpCode не удаляет файлы после шифрования. Вместо этого троянец записывает информацию поверх файлов, что делает невозможным использование ПО для восстановления данных

Люди, которые еще не сталкивались с этой проблемой, должны знать о ее существовании и распознать GpCode с первой секунды появления на экране предупреждающих сообщений. Кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных.

Если на экране неожиданно появится всплывающее окно Блокнота с таким текстом:

или вид рабочего стола мгновенно изменится на что-то вроде этого:

Специалисты ЛК советуют:

немедленно выключайте компьютер или выдерните шнур из розетки, если это самый быстрый способ его выключить!

Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях.

источник

Увы пока лечения нет...

От себя замечу, что распространяется вроде бы через вредоносные веб-сайты и посредством P2P-сетей. Однако я не рекомендую открывать почтовое сообщения от неизвестных вам адресатов.

(Например JOHN SMITH<smitho@mail.com> пришедшее на самом деле от johnsmith01file2@gmail.com и содержащий внешне безобидный документ-вложение с макросами, осуществляющими загрузку трояна).

[Юрий 76]

неприятная новость

[Bengamin 18]

Я так понял он коцает "мои документы" ну и все прилагающееся?

Или диски тоже?