После двухлетнего перерыва троян-вымогатель появился вновь, теперь уже в
более вредоносной форме. Новый вариант трояна GpCode шифрует файлы пользователей
на зараженных машинах используя алгоритмы AES 256 и RSA 1024. Вирус шифрует лишь
медиа- файлы и документы Office, однако и этого достаточно, чтобы сделать
процесс восстановления сложным или вообще невозможным.
Последняя версия вируса перезаписывает данные в файлах вместо того, чтобы
просто удалить файлы после шифрования. Этот подход использовался и в предыдущих
версиях GpCode. Он позволяет очень сильно усложнить процесс восстановления
данных.
Неизвестные преступники, стоящие за трояном, впервые развернули свою
деятельность в 2004 году, однако с 2008 года о них ничего не было слышно. После
того, как вирус поражал систему, на экранах пользователей появлялось сообщение с
требованием выплаты 120$ за ключи, необходимые для расшифровки файлов. По данным
"Лаборатории Касперского", за последние 2 года была масса других случаев
онлайн-вымогательства, но ни в одном из них не использовались версии GpCode.
Sophos добавляет, что вирус, по-видимому, проникает в компьютеры загружаясь
через зараженные сайты. Как сообщается, вредоносный PDF используется для закачки
и установки вируса-вымогателя, который распространяется только на Windows.
Пользователям рекомендуется делать резервное копирование важных данных и
использовать антивирусы для предотвращения возможной атаки.
