Zapłać, a odzyskasz dane - tak działa nowy wirus GpCode

Wirus GpCode jest obecny w Internecie od 2004 roku. Nowe wersje tego szkodnika pojawiały się regularnie, aż do 2008 roku, kiedy to autor GpCode’a zamilkł. Cisza trwała aż do listopada 2010 roku. Najnowsze odkrycia ekspertów z Kaspersky Lab świadczą o jednym – GpCode wrócił i jest groźniejszy niż kiedykolwiek wcześniej. Infekcje obserwowane od kilku dni są bardzo podobne to tych dokonywanych przez wersję .ak GpCode’a z 2008 roku. Pełny opis tego wirusa można znaleźć tutaj.

W przeciwieństwie do wcześniejszych wariantów, nowy GpCode nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, które świetnie się sprawdzało w usuwaniu skutków infekcji poprzednich wersji tego wirusa.

Wstępna analiza wykazała, że GpCode.ax szyfruje pliki przy użyciu algorytmów RSA-1024 oraz AES-256. Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu.

Specjaliści już pracują nad metodą odzyskiwania plików zaszyfrowanych przez najnowszą wersję wirusa. Posiadacze dobrych (zaktualizowanych!) programów antywirusowych mogą spać spokojnie.

Jak rozpoznać infekcję?

Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z poniższym komunikatem:

W tym momencie istnieje jeszcze szansa na uratowanie danych. Należy jak najszybciej bez wahania wyłączyć komputer, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej!

Kolejną oznaką infekcji jest nagła zmiana pulpitu na poniższy: