GPCode Ransomware отвръща на удара, Securelist
Днес Лаборатория на Касперски откри нов вариант на зловредния софтуер под формата на скрит изпълним файл. Допълнителна информация е налична в листа с данни. Благодарение на Kaspersky Security Network заплахата беше автоматично открита като UDS: DangerousObject.Multi.Generic.
Добавено е специфично откриване; зловредният софтуер вече е разпознат като Trojan-Ransom.Win32.Gpcode.bn.
Заразяването се случва при посещение на злонамерен сайт (изтегляне с диск).
След като бъде изпълнен, GPCode генерира 256-битов ключ за алгоритъма за криптиране AES, използвайки Windows Crypto API и го криптира, използвайки публичния RSA 1024 ключ на киберпрестъпника. Криптираният резултат ще бъде изхвърлен на работния плот на заразения компютър в текстов файл за откуп:
В същото време фонът на работния плот се променя - той информира потребителя, че компютърът е заразен и трябва да се плати откуп:
Съобщение за откуп на работния плот
Компютърните твърди дискове се сканират за файлове за шифроване. Решението за това кои файлове да се криптират и кои да се съхраняват се взема въз основа на тяхното разширение - криптираният конфигурационен файл съдържа всички разширения на файлове, които трябва да бъдат криптирани. Това означава, че конфигурационният файл на GPCode може лесно да се актуализира. Този файл включва текст на съобщение за откуп, както и публичен 1024-битов RSA код от престъпници.