Wirus GpCode jest obecny w internecie od 2004 roku, a nowe wersje tego szkodnika pojawiały się regularnie do roku 2008. Teraz GpCode wrócił i według ekspertów jest groźniejszy niż kiedykolwiek wcześniej.
Obserwowane od kilku dni infekcje są bardzo podobne do tych dokonywanych przez wersję .ak GpCode’a z 2008 roku, której pełny opis można znaleźć tutaj. "Wirus jest bardzo niebezpieczny, ponieważ szanse na odzyskanie danych są znikome. W praktyce infekcja najnowszą wersją GpCode’a oznacza niemal trwałe usunięcie danych z dysku twardego" - stwierdził Witalij Kamliuk, ekspert z Kaspersky Lab.
W przeciwieństwie do wcześniejszych wariantów, nowy GpCode nie usuwa plików po zaszyfrowaniu. Zamiast tego nadpisuje dane w plikach, dlatego nie można użyć oprogramowania do odzyskiwania danych, które sprawdzało się przy poprzednich wersjach tego wirusa. Wstępna analiza wykazała, że GpCode.ax szyfruje pliki przy użyciu algorytmów RSA-1024 oraz AES-256. Szkodnik szyfruje tylko część pliku, począwszy od pierwszego bajtu.
Kaspersky Lab zaleca użytkownikom podejrzewającym, że ich komputery zostały zainfekowane, aby nic nie zmieniali w systemie, gdyż może to całkowicie uniemożliwić odzyskanie danych gdy pojawi się już na to metoda. Firma radzi też aby w przypadku cennych danych, na których odzyskaniu użytkownikowi bardzo zależy, wyłączyć zainfekowany komputer i poczekać na pojawienie się rozwiązania przywracającego zaszyfrowane dane.
Twórca GpCode’a twierdzi, że zaszyfrowane pliki zostaną usunięte po kilku dniach. Jednak dotychczasowa analiza przeprowadzona przez Kaspersky Lab nie wykazała istnienia mechanizmu niszczenia danych po określonym czasie.
Pierwszym symptomem infekcji jest pojawienie się na ekranie okna Notatnika z poniższym komunikatem:
Według Kaspersky Lab, w tym momencie istnieje jeszcze szansa na uratowanie danych. "Należy jak najszybciej bez wahania wyłączyć komputer, a nawet wyciągnąć wtyczkę, jeśli tak będzie szybciej!" - radzi firma.
Kolejną oznaką infekcji jest nagła zmiana pulpitu na poniższy:
Kaspersky Lab zapowiada informowanie o postępach w pracy firmowych analityków nad opracowaniem metody odzyskiwania plików zaszyfrowanych przez najnowszą wersję GpCode’a na blogu http://www.viruslist.pl/weblog.html
