Virus.Win32.Gpcode.ak

Jest to szkodliwy program szyfruj膮cy pliki zapisane na dyskach zainfekowanego komputera. Ma posta膰 pliku PE EXE o rozmiarze 3 030 bajt贸w. Inne znane wersje wirusa: .ac, .ad, .ae, .af, .ag, .ai, .f.

Funkcje szkodnika

Po uruchomieniu wirus tworzy w pami臋ci komputera identyfikator w celu oznaczenia swojej obecno艣ci w systemie: _G_P_C_.

Nast臋pnie wirus rozpoczyna skanowanie wszystkich logicznych dysk贸w w poszukiwaniu plik贸w do zaszyfrowania. Szyfrowane s膮 wszystkie pliki posiadaj膮ce nast臋puj膮ce rozszerzenia:

7z abk abd acad
arh arj ace arx
asm bz bz2 bak
bcb c cc cdb
cdw cdr cer cgi
chm cnt cpp css
csv db db1 db2
db3 db4 dba dbb
dbc dbd dbe dbf
dbt dbm dbo dbq
dbt dbx Djvu doc
dok dpr dwg dxf
ebd eml eni ert
fax flb frm frt
frx frg gtd gz
gzip gfa gfr gfd
h inc igs iges
jar jad Java jpg
jpeg Jfif jpe js
jsp hpp htm html
key kwm Ldif lst
lsp lzh lzw ldr
man mdb mht mmf
mns mnb mnu mo
msb msg mxl old
p12 pak pas pdf
pem pfx php php3
php4 pl prf pgp
prx pst pw pwa
pwl pwm pm3 pm4
pm5 pm6 rar rmr
rnd rtf Safe sar
sig sql tar tbb
tbk tdf tgz tbb
txt uue vb vcf
wab xls xml

Wirus wykorzystuje do szyfrowania modu艂 Microsoft Enhanced Cryptographic Provider v1.0 wbudowany w systemy Windows. pliki s膮 szyfrowane przy u偶yciu algorytmu RC4. Z kolei klucz szyfruj膮cy jest szyfrowany przy u偶yciu klucza publicznego RSA o d艂ugo艣ci 1024 bit贸w.

Algorytm RSA dzieli klucze szyfruj膮ce na publiczne i prywatne. Do zaszyfrowania obiektu wymagany jest jedynie klucz publiczny. Jednak aby odszyfrowa膰 taki obiekt musimy posiada膰 klucz prywatny.

Wirus tworzy zaszyfrowan膮 kopi臋 ka偶dego oryginalnego pliku. Kopia ta zachowuje oryginaln膮 nazw臋, do kt贸rej dodawany jest dopisek _CRYPT. Na przyk艂ad:

  • WaterLilles.jpg - oryginalny plik
  • WaterLilles.jpg._CRYPT - zaszyfrowany plik

Nast臋pnie oryginalny plik jest usuwany.

Wirus umieszcza w ka偶dym folderze zawieraj膮cym zaszyfrowane obiekty plik !_READ_ME_!.txt. Plik ten zawiera nast臋puj膮cy tekst:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor. 
To buy decrypting tool contact us at: [censored]@yahoo.com

T艂umaczenie:

Tw贸j plik zosta艂 zaszyfrowany przy u偶yciu 1024-bitowego algorytmu RSA.
W celu odzyskania swoich plik贸w musisz kupi膰 nasz program deszyfruj膮cy.
W celu dokonania zakupu skontaktuj si臋 z nami pod adresem: *******@yahoo.com

Pliki znajduj膮ce si臋 w folderze Program Files nie s膮 szyfrowane. Dodatkowo wirus nie szyfruje plik贸w, kt贸re:

  • posiadaj膮 atrybuty "systemowy" oraz "ukryty"
  • s膮 mniejsze ni偶 10 bajt贸w
  • s膮 wi臋ksze ni偶 734 003 200 bajt贸w

Po wykonaniu swoich g艂贸wnych funkcji wirus tworzy plik VBS, kt贸ry usuwa jego kod z zainfekowanego komputera i wy艣wietla komunikat:

Wirus nie tworzy 偶adnych kluczy w rejestrze systemowym.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li uwa偶asz, 偶e Tw贸j komputer zosta艂 zainfekowany, skontaktuj si臋 z nami pod adresem e-mail pomoc@kaspersky.pl podaj膮c w tre艣ci wiadomo艣ci nast臋puj膮ce informacje:

  • Data i czas wyst膮pienia infekcji
  • Opis wszystkich dzia艂a艅 wykonywanych na komputerze przez okres oko艂o 5 minut przed wyst膮pieniem infekcji, 艂膮cznie z:
    • uruchamianymi programami
    • odwiedzanymi stronami WWW

Odzyskiwanie zaszyfrowanych plik贸w

W chwili obecnej nie jest mo偶liwe odszyfrowanie plik贸w zaszyfrowanych przez Gpcode'a. Jednak, mo偶na skorzysta膰 z darmowego narz臋dzia PhotoRec w celu odzyskania oryginalnych plik贸w, kt贸re zosta艂y usuni臋te przez wirusa po tym, jak utworzy艂 ich zaszyfrowane wersje.

Narz臋dzie pozwala na odzyskanie dokument贸w pakietu Microsoft Office, plik贸w wykonywalnych, dokument贸w PDF oraz TXT a tak偶e niekt贸rych archiw贸w. Tutaj mo偶na znale藕膰 pe艂n膮 list臋 obs艂ugiwanych format贸w.

PhotoRec jest cz臋艣ci膮 pakietu TestDisk. Najnowsz膮 wersj臋 tego pakietu, wraz z narz臋dziem PhotoRec, mo偶na znale藕膰 tutaj.

Poni偶ej znajduj膮 si臋 szczeg贸艂owe instrukcje pozwalaj膮ce na r臋czne odzyskanie plik贸w przy u偶yciu narz臋dzia PhotoRec:

  1. U偶yj innego komputera (niezainfekowanego) do pobrania pakietu TestDisk zawieraj膮cego narz臋dzie PhotoRec.
  2. Zapisz narz臋dzie PhotoRec na zewn臋trzny dysk (np. pendrive) i pod艂膮cz go do zainfekowanego komputera - nie ma 偶adnego ryzyka, poniewa偶 Gpcode.ak nie moze si臋 rozprzestrzenia膰, a do tego usuwa sw贸j kod po uruchomieniu.
  3. Uruchom narz臋dzie PhotoRec (plik wykonywalny posiada nazw臋 photorec_win.exe i znajduje si臋 w katalogu win pakietu TestDisk):
  4. Wybierz nap臋d, na kt贸rym PhotoRec ma szuka膰 plik贸w i wci艣nij ENTER:

    Je偶eli w Twoim komputerze znajduje si臋 kilka dysk贸w twardych, wykonaj ten krok dla ka偶dego z nich.

  5. Wybierz typ tablicy partycji (standardowo 'Intel') i wci艣nij ENTER.
  6. W tym kroku musisz wykona膰 dwie czynno艣ci: wybra膰 "Expert Mode" i wskaza膰 partycj臋, z kt贸rej PhotoRec ma odzyska膰 pliki.

    Na pocz膮tku kliknij w menu polecenie [Options] (wskazane na poni偶szym obrazu przez czerwon膮 strza艂k臋):

    Po wybraniu [Options] wci艣nij ENTER, aby zobaczy膰 parametry. Zaznacz "Expert Mode" i u偶yj klawiszy kursora, aby zaznaczy膰 "Yes".

    Teraz wr贸膰 do poprzedniego menu wybieraj膮c "Quit". Przejd藕 z [Options] do [Search]. Wybierz partycj臋, z kt贸rej chcesz odzyska膰 pliki i wci艣nij ENTER.

    Je偶eli w Twoim komputerze znajduje si臋 kilka dysk贸w twardych, wykonaj ten krok dla ka偶dego z nich.

  7. Wybierz typ systemu plik贸w (u偶ytkownicy Windows powinni skorzysta膰 z opcji 'Other') i wci艣nij ENTER.

  8. Wybierz lokalizacj臋, w kt贸rej narz臋dzie ma szuka膰 plik贸w i wci艣nij ENTER. Aby przeszuka膰 ca艂y dysk, wybierz "Whole".

  9. PhotoRec poprosi Ci臋 o okre艣lenie foldera docelowego, w kt贸rym zostan膮 zapisane odzyskane pliki. U偶yj przegl膮darki plik贸w wbudowanej w narz臋dzie PhotoRec, aby przej艣膰 do katalogu g艂贸wnego (wybierz ".." i wci艣nij ENTER).

    W katalogu g艂贸wnym wy艣wietlane s膮 wszystkie dyski pod艂膮czone do systemu. Wybierz dysk wymienny (lub sieciowy) oraz folder, w kt贸rym chcesz zapisa膰 odzyskane pliki. Bardzo wa偶ne jest, aby艣 wybra艂 dysk zewn臋trzny (pod 偶adnym pozorem nie wybieraj dysku zainfekowanego komputera - mo偶e to doprowadzi膰 do zniszczenia plik贸w usuni臋tych przez Gpcode'a).

    Przed rozpocz臋ciem odzyskiwania plik贸w upewnij si臋, 偶e utworzy艂e艣 na docelowym dysku odpowiedni folder (na przyk艂ad, "Odzyskane") i wybra艂e艣 ten folder jako lokalizacj臋, w kt贸rej PhotoRec b臋dzie zapisywa艂 odzyskane pliki. Aby kontynuowa膰 wci艣nij "Y".

    Je偶eli zgodnie z zaleceniami znajduj膮cymi si臋 w kroku 6 wybra艂e艣 "Expert Mode", PhotoRec zapyta o rozmiar bloku wykorzystywanego do zapisywania danych na Twoim dysku. Podanie prawid艂owego parametru uchroni Ci臋 przed odzyskiwaniem "艣mieci". W systemach Windows domy艣lny rozmiar bloku to 512. Warto jednak sprawdzi膰 warto艣膰 tego parametru w informacjach o systemie operacyjnym.

    Uruchom msinfo32 (START| URUCHOM| MSINFO32). Msinfo32 zgromadzi informacje o systemie operacyjnym i wy艣wietli je na ekranie (gromadzenie tych danych mo偶e chwil臋 potrwa膰). Aby sprawdzi膰 rozmiar bloku, otw贸rz Podsumowanie systemu| Sk艂adniki| Magazyn| Dyski. Warto艣膰 poszukiwanego parametru wy艣wietli si臋 w prawej cz臋艣ci okna w sekcji "Bajt贸w/sektor".

    Wr贸膰 do okna narz臋dzia PhotoRec i wybierz tak膮 sam膮 warto艣膰 na li艣cie. Po wci艣ni臋ciu "Y" proces przywracania zostanie uruchomiony. Pami臋taj - odzyskiwanie danych mo偶e trwa膰 bardzo d艂ugo.

    Przed przej艣ciem do nast臋pnego kroku poczekaj na zako艅czenie skanowania.

  10. Odzyskane pliki znajduj膮 si臋 teraz wybranym wcze艣niej zewn臋trznym dysku. Po otwarciu foldera zawieraj膮cego odzyskane pliki zauwa偶ysz, 偶e nazwy nie s膮 takie same, jak na Twoim dysku twardym przed atakiem Gpcode'a.

    Nazwy plik贸w mog膮 wygl膮da膰 nast臋puj膮co:

    Jest to zwi膮zane z trybem pracy narz臋dzia PhotoRec i nie musisz si臋 niczego obawia膰. Ponadto PhotoRec nie potrafi okre艣li膰 oryginalnej lokalizacji odzyskanych plik贸w.

Aby umo偶liwi膰 艂atwe zako艅czenie procesu odzyskiwania plik贸w, stworzyli艣my darmowe narz臋dzie o nazwie StopGpcode, kt贸re posortuje i przemianuje pliki odzyskane przez narz臋dzie PhotoRec.

  • U偶yj niezainfekowanego komputera do pobrania narz臋dzia StopGpcode i skopiuj na pendrive'a lub inn膮 pami臋膰 przeno艣n膮.
  • Pod艂膮cz pendrive'a do zainfekowanego komputera i otw贸rz Wiersz polecenia systemu Windows wybieraj膮c: START | PROGRAMY | AKCESORIA.
  • Przejd藕 do pendrive'a wpisuj膮c jego liter臋 z dwukropkiem - na przyk艂ad, W:
  • Uruchom narz臋dzie wpisuj膮c:
    "STOPGPCODE -r <folder z odzyskanymi plikami> -i <zainfekowany dysk> -o <folder docelowy>
    Przyk艂ad: STOPGPCODE -r W: ODZYSKANE -i С: -o W:POSORTOWANE"

Narz臋dzie przeanalizuje ca艂y dysk w celu por贸wnania rozmiar贸w zaszyfrowanych i odzyskanych plik贸w. Rozmiary te zostan膮 u偶yte w celu okre艣lenia oryginalnej lokalizacji oraz nazw odzyskanych plik贸w.

Narz臋dzie podejmie pr贸b臋 okre艣lenia poprawnej nazwy i oryginalnej lokalizacji dla ka偶dego z plik贸w i zapisze je w folderze o nazwie "sorted". Je偶eli dla danego pliku oka偶e si臋 to niemo偶liwe, narz臋dzie zapisze go do foldera o nazwie "conflicted".

Narz臋dzie StopGpcode mo偶esz pobra膰 tutaj.

Deszyfrowanie plik贸w przy u偶yciu narz臋dzia StopGpcode2

Niekt贸re pliki zaszyfrowane przez Gpcode.ak mog膮 zosta膰 odszyfrowane bez u偶ycia prywatnego klucza RSA. Jest to mo偶liwe w przypadku plik贸w, dla kt贸rych istniej膮 wersje niezaszyfrowane.

W celu odszyfrowania wykonaj nast臋puj膮ce czynno艣ci:

  1. Odszukaj na zainfekowanym komputerze wszystkie zaszyfrowane pliki posiadaj膮ce rozszerzenie ._CRYPT i skopiuj je na nap臋d zewn臋trzny (na przyk艂ad, na pendrive'a) do foldera o nazwie "encrypted".

  2. Post臋puj zgodnie z instrukcjami z powy偶szej sekcji Odzyskiwanie zaszyfrowanych plik贸w i zapisz odzyskane pliki z poprawnie przywr贸conymi nazwami na nap臋dzie zewn臋trznym, w folderze o nazwie "backup".

  3. Dopasuj niezaszyfrowane kopie plik贸w z ich zaszyfrowanymi wersjami znajduj膮cymi si臋 w folderze "encrypted". Niezaszyfrowane wersje plik贸w mo偶esz znale藕膰, na przyk艂ad, w swojej kopii zapasowej. Je偶eli straci艂e艣 zdj臋cia, ich kopie mog膮 ci膮gle znajdowa膰 si臋 na karcie pami臋ci w aparacie fotograficznym. Istnieje tak偶e prawdopodobie艅stwo, 偶e posiadasz kopie swoich dokument贸w i innych plik贸w na r贸偶nych nap臋dach sieciowych lub w wiadomo艣ciach e-mail. Po odnalezieniu takich plik贸w skopiuj je do foldera o nazwie "backup".

    Wa偶ne! Pliki, kt贸re zapisujesz do foldera "backup" MUSZ膭 mie膰 takie same nazwy, jak ich zaszyfrowane odpowiedniki znajduj膮ce si臋 w folderze "encrypted"; identyczne musi by膰 wszystko poza rozszerzeniem ._CRYPT.
  4. Utw贸rz folder o nazwie "decrypted" - to w nim zostan膮 zapisane odszyfrowane pliki. Pobierz darmowe narz臋dzie Stopgpcode2 ze strony Kaspersky Lab. S艂u偶y ono do deszyfrowania plik贸w.

  5. Uruchom narz臋dzie StopGpcode2 z wiersza polece艅 (Start > Uruchom > cmd.exe ) – upewnij si臋, 偶e podajesz pe艂ne 艣cie偶ki dost臋pu do folder贸w "encrypted", "backup", oraz "decrypted". Na przyk艂ad, je偶eli narz臋dzie i foldery znajduj膮 si臋 w katalogu g艂贸wnym nap臋du E:, musisz wprowadzi膰 nast臋puj膮ce polecenie:

    e:stopgpcode2.exe e:encrypted e:ackup e:decrypted

    Po uruchomieniu narz臋dzie rozpocznie proces deszyfrowania Twoich plik贸w.

  6. Po zako艅czeniu dzia艂ania narz臋dzia na ekranie pojawi si臋 komunikat "Done". Teraz mo偶esz otworzy膰 folder "decrypted" i sprawdzi膰, kt贸re pliki zosta艂y poprawnie odszyfrowane.

Wa偶ne! Narz臋dzie mo偶e nie odszyfrowa膰 wszystkich plik贸w. W takim przypadku na ekranie pojawi si臋 komunikat "partly recovered".
Ponadto narz臋dzie nie jest przeznaczone do pracy na maszynach wirtualnych. Rezultaty jego dzia艂ania w takim 艣rodowisku mog膮 si臋 znacznie r贸偶ni膰 od wynik贸w osi膮ganych na fizycznym komputerze.