返回新闻列表

网络黑客索取125美元恢复被加密数据

        卡巴斯基实验室的安全专家最近检测到一种最新的GPCode恶意程序变种。该恶意程序属于勒索软件,会对受感染计算机上的数据进行加密,并威胁用户如果不付费,则删除这些数据。此次,编写该恶意程序的网络罪犯采用了一种新的付费方式:即135美元的Ukash预付费券。卡巴斯基实验室位于法国的全球研发和分析团队高级恶意软件分析师Nicolas Brulez认为:“网络罪犯似乎开始用预付费券取代传统的网络支付方式。”他还指出这是本周第二个新出现的以Ukash预付费券作为支付方式的勒索软件。

        目前,卡巴斯基实验室的专家正在研究如何恢复被感染计算机上的数据。很遗憾的是,目前被最新GPCode变种加密的数据还无法被恢复。

        GPCode木马最早于2004年出现在互联网上。2010年11月,安全专家注意到该恶意程序变得更为复杂,可以使用一种强度非常高的加密算法。在删除数据前,该恶意程序变种会利用该算法将所有文件覆盖,使得普通的数据恢复软件根本无法恢复被删除的数据。而卡巴斯基实验室上星期刚刚发现的Trojan-Ransom.Win32.Gpcode.bn则更进了一步,该变种能够在受感染计算机上自动进行升级。

        最新的GPCode木马可以利用浏览即下载的攻击方式,在用户访问受感染网站时感染计算机。一旦感染,木马就会自动在系统中加载运行,在用户不知情的情况下加密数据。之后,显示如下的信息:

http://www.kaspersky.com/images/ill/gpcode.png

        此时,木马正在对磁盘进行扫描,查找文件进行加密。判断是否对某个文件加密,取决于其文件扩展名,这些判断依据被储存于一个加密的配置文件中。这意味着GPCode勒索软件很容易就可以通过一个新的配置文件进行升级。

        如果您怀疑自己的计算机被该恶意程序感染,卡巴斯基实验室的专家建议您不要对计算机系统进行任何更改,因为这样很可能会造成数据无法恢复。特殊情况下有时候需要采取特殊应对措施,所以不要犹豫,可以立刻关闭计算机或拔掉计算机电源,如果这样可以快速阻止恶意软件进一步造成破坏。卡巴斯基实验室的Nicolas Brulez在其最近关于GPCode的日志中写道:“目前,我们还未发现该恶意软件有任何基于时间的文件删除机制,虽然该恶意软件的编写者生成文件会在感染‘N’天后被删除。”不管怎样,我们建议最好不要对系统的文件系统进行任何改动,例如,不要轻易重新启动计算机。

        由于恶意软件使用了高强度的加密算法,被加密的文件无法被恢复。目前,用户只能通过文件备份来恢复受损的文件。同时,卡巴斯基实验室的专家正在对最新版的GPCode进行分析,试图找出恢复被感染计算机上的数据。

        此外,使用卡巴斯基实验室产品的用户完全不必担心,卡巴斯基实验室的卡巴斯基安全网络已经能够主动拦截该恶意程序。