PGPCoder

Trojan.PGPCoder

Vanligt namn	Gpcode
Tekniskt namn	Trojan.PGPCoder, Virus.Win32.Gpcode, TROJ_PGPCODER.[bokstav] ( Trend Micro )
Klassificering	Trojan
Isolering	2005-05-20

PGPCoder eller GPCode är en trojan som krypterar filer på den infekterade datorn och sedan ber om en lösensumma för att släppa dessa filer, en typ av beteende som kallas ransomware eller kryptovirologi .

Trojan

När trojanen väl har installerats på en dator skapar den två registernycklar: en för att säkerställa att den körs vid varje systemstart, och den andra för att övervaka trojanens framsteg i den infekterade datorn, räknande antalet filer som har analyserats av skadlig kod.

När den väl har körts inleder trojanen sitt uppdrag, som är att med hjälp av en digital krypteringsnyckel kryptera alla filer den hittar på datorenheter med tillägg som motsvarar de som anges i dess kod. Dessa tillägg inkluderar .doc, .html, .jpg, .xls, .zip och .rar.

Utpressningen avslutas med att trojanen släpper en textfil i varje katalog, med instruktioner till offret om vad de ska göra. En e-postadress tillhandahålls genom vilken användare ska begära att deras filer ska släppas efter att ha betalat en lösensumma på $100–200 till ett e-gold- eller Liberty Reserve- konto.

Ansträngningar för att bekämpa trojanen

Medan ett fåtal Gpcode-varianter har implementerats framgångsrikt, har många varianter brister som tillåter användare att återställa data utan att betala lösensumman. De första versionerna av Gpcode använde en specialskriven krypteringsrutin som lätt bröts. Variant Gpcode.ak skriver den krypterade filen till en ny plats och tar bort den okrypterade filen, och detta tillåter ett återställningsverktyg för att återställa några av filerna. När några krypterade+okrypterade par har hittats ger detta ibland tillräckligt med information för att dekryptera andra filer. Variant Gpcode.am använder symmetrisk kryptering , vilket gjorde nyckelåterställningen mycket enkel. I slutet av november 2010 rapporterades en ny version som heter Gpcode.ax. Den använder starkare kryptering (RSA-1024 och AES-256) och skriver över den krypterade filen fysiskt, vilket gör återställning nästan omöjlig.

Kaspersky Lab har kunnat ta kontakt med författaren till programmet och verifiera att individen är den verkliga författaren, men har hittills inte kunnat fastställa sin verkliga identitet.

externa länkar

• Kaspersky Lab
  • Kaspersky Labs blogginlägg
  • Kaspersky Lab-forum dedikerat till GPCode
  • Kaspersky Lab-virusbeskrivningar
  • StopGPCode-verktyg för borttagning av trojaner
• Andra virusbeskrivningsdatabaser
  • F-Secure
  • Symantec
  • McAfee: GPCoder GPCoder.e GPCoder.f GPCoder.g GPCoder.h GPCoder.i
  • Trend Micro: TROJ_PGPCODER.A TROJ_PGPCODER.B TROJ_PGPCODER.C TROJ_PGPCODER.D TROJ_PGPCODER.E TROJ_PGPCODER.F TROJ_PGPCODER.G
  • Hotexpert