Virus.Win32.Gpcode.ae

Jest to szkodliwy program szyfruj膮cy pliki na zainfekowanych komputerach. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 62 KB (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 134 KB). Program zosta艂 rozes艂any przy u偶yciu technologii spamowych w rosyjskim segmencie Internetu.

Po uruchomieniu wirus szyfruje pliki posiadaj膮ce nast臋puj膮ce rozszerzenia:

12m
3ds
3dx
4ge
4gl
a
a86
abc
acd
ace
act
ada
adi
aex
af3
afd
ag4
ai
aif
aifc
aiff
ain
aio
ais
akf
alv
amp
ans
ap
apa
apo
app
arc
arh
arj
arx
asc
ask
bb
bcp
bdb
bh
bib
bsa
btr
bup
bwb
bz
c
c86
cac
cat
cbl
cc
cdb
cdr
cgi
cmd
cnt
cob
col
cpp
cpt
crp
cru
csc
css
csv
ctx
cvs
cwb
cwk
cxe
cyp
d
db
db0
db1
db2
db3
db4
dba
dbb
dbc
dbd
dbe
dbf
dbk
dbm
dbo
dbq
dbt
dbx
dic
dif
dm
dmd
doc
dok
dox
dsc
dwg
dxf
dxr
eps
exp
f
fas
fax
fdb
fla
flb
fm
fox
frm
frt
frx
fsl
gtd
gz
gzip
h
ha
hh
hjt
hog
htm
html
htx
ice
icf
ihtml
ish
jar
jsp
key
kwm
lst
lwp
lzh
lzs
lzw
ma
mak
man
maq
mar
mbx
mdb
mdf
mmf
mo
myd
old
p12
pak
pdf
pem
pfx
pgp
pl
pm3
pm4
pm5
pm6
ppt
prf 
prx
ps
pst
pw
pwa
pwl
pwm
pwp
pxl
rar
rle
rmr
rnd
rtf
safe
sar
sig
sln
swf
tar
tbb
tex
tga
txt
vp
xcr
xls
xml
zip
zoo

Wirus wykorzystuje 260-bitowe szyfrowanie RSA.

Korzystanie z zaszyfrowanych plik贸w jest niemo偶liwe. Za ich odszyfrowanie autor szkodnika 偶膮da wp艂acenia pieni臋dzy.

W ka偶dym folderze zawieraj膮cym zaszyfrowane pliki tworzony jest plik readme.txt zawieraj膮cy nast臋puj膮cy tekst:

Some files are coded by RSA method.
To buy decoder mail: k6**89@mail.ru 
with subject: REPLY

(Pewne pliki zosta艂y zaszyfrowane metod膮 RSA.M
Aby kupi膰 dekoder, wy艣lij wiadomo艣膰 o temacie REPLY na adres k47674@mail.ru)

Podany adres e-mail mo偶e si臋 r贸偶ni膰 w zale偶no艣ci od wersji wirusa.

Wszystkim u偶ytkownikom, kt贸rych komputery zosta艂y zainfekowane tym wirusem zaleca si臋 jak najszybsze wys艂anie zaszyfrowanych plik贸w do laboratorium firmy Kaspersky Lab. Pod 偶adnym pozorem nie nale偶y ulega膰 szanta偶owi, poniewa偶 zach臋ci to autor贸w wirus贸w do tworzenia nowych wersji.

Po zako艅czeniu procedury szyfrowania wirus tworzy plik TMP.BAT. S艂u偶y on do usuwania oryginalnego kodu 藕r贸d艂owego z zainfekowanego komputera.

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje: