O vírus GpCode existe desde 2004, com novas versões do malware aparecendo regularmente até 2008. Agora, o GpCode está de volta e, segundo especialistas, é mais perigoso do que nunca.
As infecções observadas por vários dias são muito semelhantes às causadas pela versão 2008 do GpCode, cuja descrição completa pode ser encontrada aqui.
“O vírus é muito perigoso porque as chances de recuperação de dados são pequenas. Na prática, a infecção com a versão mais recente do GpCode significa o apagamento quase permanente dos dados do disco rígido” – disse Vitaliy Kamliuk, especialista da Kaspersky Lab.
Ao contrário das variantes anteriores, o novo GpCode não exclui arquivos após a criptografia. Em vez disso, ele substitui os dados nos arquivos, portanto, você não pode usar o software de recuperação de dados que funcionou com versões anteriores desse vírus. A análise inicial mostrou que o GpCode.ax criptografa arquivos usando os algoritmos RSA-1024 e AES-256. O worm criptografa apenas parte do arquivo, começando com o primeiro byte.
Boletim WirtualneMedia.pl em sua caixa de entrada de e-mail
A Kaspersky Lab aconselha os usuários que suspeitam que seus computadores foram infectados a não alterar nada no sistema, pois isso pode impossibilitar a recuperação completa dos dados assim que um método para fazê-lo aparecer. A empresa também aconselha que, no caso de dados valiosos, cuja recuperação seja muito importante para o usuário, desligue o computador infectado e aguarde uma solução para restaurar os dados criptografados.
O desenvolvedor do GpCode afirma que os arquivos criptografados serão excluídos após alguns dias. No entanto, a análise realizada pela Kaspersky Lab até agora não revelou a existência de um mecanismo de destruição de dados após um período de tempo especificado.
O primeiro sintoma da infecção é a janela do Bloco de Notas com a seguinte mensagem na tela:
De acordo com a Kaspersky Lab, ainda há uma chance de salvar os dados neste momento. “Você deve desligar o computador o mais rápido possível sem hesitação, e até mesmo desconectá-lo, se acontecer mais rápido!” – a empresa aconselha.
Outro sinal de infecção é a sua área de trabalho mudando repentinamente para o seguinte:
Kaspersky Lab anuncia informações sobre o andamento do trabalho de analistas corporativos no desenvolvimento de um método de recuperação de arquivos criptografados pela versão mais recente do GpCode no blog http://www.viruslist.pl/weblog.html
