Virus.Win32.Gpcode.ae
Po uruchomieniu wirus szyfruje pliki posiadaj膮ce nast臋puj膮ce rozszerzenia:
12m 3ds 3dx 4ge 4gl a a86 abc acd ace act ada adi aex af3 afd ag4 ai aif aifc aiff ain aio ais akf alv amp ans ap apa apo app arc arh arj arx asc ask bb bcp bdb bh bib bsa btr bup bwb bz c c86 cac cat cbl cc cdb cdr cgi cmd cnt cob col cpp cpt crp cru csc css csv ctx cvs cwb cwk cxe cyp d db db0 db1 db2 db3 db4 dba dbb dbc dbd dbe dbf dbk dbm dbo dbq dbt dbx dic dif dm dmd doc dok dox dsc dwg dxf dxr eps exp f fas fax fdb fla flb fm fox frm frt frx fsl gtd gz gzip h ha hh hjt hog htm html htx ice icf ihtml ish jar jsp key kwm lst lwp lzh lzs lzw ma mak man maq mar mbx mdb mdf mmf mo myd old p12 pak pdf pem pfx pgp pl pm3 pm4 pm5 pm6 ppt prf prx ps pst pw pwa pwl pwm pwp pxl rar rle rmr rnd rtf safe sar sig sln swf tar tbb tex tga txt vp xcr xls xml zip zoo
Wirus wykorzystuje 260-bitowe szyfrowanie RSA.
Korzystanie z zaszyfrowanych plik贸w jest niemo偶liwe. Za ich odszyfrowanie autor szkodnika 偶膮da wp艂acenia pieni臋dzy.
W ka偶dym folderze zawieraj膮cym zaszyfrowane pliki tworzony jest plik readme.txt zawieraj膮cy nast臋puj膮cy tekst:
Some files are coded by RSA method. To buy decoder mail: k6**89@mail.ru with subject: REPLY
(Pewne pliki zosta艂y zaszyfrowane metod膮 RSA.M
Aby kupi膰 dekoder, wy艣lij wiadomo艣膰 o temacie REPLY na adres k47674@mail.ru)
Podany adres e-mail mo偶e si臋 r贸偶ni膰 w zale偶no艣ci od wersji wirusa.
Wszystkim u偶ytkownikom, kt贸rych komputery zosta艂y zainfekowane tym wirusem zaleca si臋 jak najszybsze wys艂anie zaszyfrowanych plik贸w do laboratorium firmy Kaspersky Lab. Pod 偶adnym pozorem nie nale偶y ulega膰 szanta偶owi, poniewa偶 zach臋ci to autor贸w wirus贸w do tworzenia nowych wersji.
Po zako艅czeniu procedury szyfrowania wirus tworzy plik TMP.BAT. S艂u偶y on do usuwania oryginalnego kodu 藕r贸d艂owego z zainfekowanego komputera.
W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:
- Przeprowadzi膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z wersji testowej programu Kaspersky Anti-Virus).
- Je偶eli po zako艅czeniu skanowania pewne pliki pozostan膮 zaszyfrowane, nale偶y je wys艂a膰 do firmy Kaspersky Lab newvirus@kaspersky.com.