benjamin
Board-Administrator
Geschlecht: 
Anmeldungsdatum: 09.02.2007
Beiträge: 30
Wohnort: Wiesau
|
 Verfasst am: 15.11.2008, 17:38 Titel: Virus.Win32.Gpcode.ak im Umlauf und Lösung wie man wegkriegt |
 |
|
Hi.
Ich hab neue Virus gefunden die Details gibt auch noch dazu mit Lösung.
Virus.Win32.Gpcode.ak
[sup]Andere Version: .ac, .ae, .af, .ag, .ai, .f[/sup]
Datum: Wann entdeckt? 04 Jun 2008 15:39 GMT
Behavior Virus
Plattform Win32
Technical Details
Schadprogramm, das auf dem infizierten Computer Anwender-Dateien verschlüsselt. Es handelt sich um eine Windows-Anwendung (PE EXE-Datei) und hat eine Größe von 8030 Bite.
Payload
Nach dem Start erstellt der Virus im Speicher des PCs eine einzigartige Kennzeichnung (mutex) _G_P_C_, zur Identifizierung seiner Anwesenheit im System.
Anschließend sucht er auf allen logischen Platten nach Dateien zum Verschlüsseln. Der Virus verschlüsselt alle gefundenen Anwender-Dateien mit den folgenden Erweiterungen:
7z ; abk; abd; acad;
arh ; arj ; ace ; arx;
asm ; bz ; bz2; bak;
bcb ;c ; cc; cdb;
cdw; cdr; cer; cgi;
chm ; cnt; cpp; css;
csv; db; db1; db2;
db3; db4; dba; dbb;
dbc; dbd ; dbe ; dbf
;dbt ; dbm ; dbo; dbq;
dbx; Djvu ; doc; dok;
dpr; dwg; dxf; ebd;
eml; eni; ert; fax;
flb ; frm ; frt ; frx
;frg ; gtd ; gz ; gzip;
gfa; gfr; gfd ; h
;inc; igs; iges ; jar;
jad ; Java; jpg ; jpeg;
Jfif ; jpe ; js ; jsp
;hpp ; htm ; html ; key
;kwm ;Ldif ; lst ; lsp
;lzh ; lzw ; ldr ; man;
mdb ; mht; mmf; mns;
mnb ; mnu ; mo; msb;
msg; mxl; old; p12
;pak ; pas ; pdf ; pem
;pfx; php ; php3 ; php4;
pl ; prf pgp prx
pst ; pw pwa pwl
pwm ; pm3 ; pm4; pm5;
pm6; rar ; rmr ; rnd;
rtf ; Safe; sar ; sig;
sql ; tar ; tbb ; tbk;
tdf ; tgz ; txt ; uue;
vb ; vcf ; wab; xls;
xml
Zum Verschlüsseln der Dateien verwendet der Virus ins Betriebssystem eingebaute Crypt-Algorithmen (Microsoft Enhanced Cryptographic Provider v1.0). Die Dateien werden mithilfe des RC4-Algorithmus verschlüsselt. Der Chiffrierschlüssel wird danach mit einem öffentlichen RSA-Schlüssel (public key) mit einer Länge von 1024 bit verschlüsselt, der im Viren-Body enthalten ist.
Der RSA-Algorithmus verwendet ein Schlüsselpaar, bestehend aus einem privaten Schlüssel, der zum Entschlüsseln oder Signieren von Daten verwendet wird, und einem öffentlichen Schlüssel, mit dem man verschlüsselt oder Signaturen prüft.
Der Virus erstellt eine verschlüsselte Kopie der Datei, die den Original-Namen der Datei beibehält und ergänzt die Erweiterung _CRYPT. Beispiel:
Original-Datei: WaterLilles.jpg
Verschlüsselte Datei: WaterLilles.jpg._CRYPT
Anschließend wird die Original-Datei gelöscht.
In jedes Verzeichnis, dessen Dateien verschlüsselt wurden, positioniert das Schadprogramm «!_READ_ME_!.txt» - Datei mit folgendem Inhalt:
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [censored]@yahoo.com
=== BEGIN ===
[key]
=== END ===
Dateien, die sich im Verzeichnis Program Files befinden, werden nicht verschlüsselt. Der Virus verschlüsselt keine Dateien:
mit den Attributen "System" oder "versteckte"; die kleiner als 10 Byte sind; mit einer Länge über 734003200.
Während seiner Aktivitäten registriert sich der Virus nicht im System-Register.
Nach Beendigung seiner Aktivitäten erstellt der Virus eine VBS-Datei, die den Hauptbody des Virus vom Computer entfernt und erstellt auf dem Bildschirm die folgende MessageBox:
TIPP: In diesem Fall setzen Sie sich mit euren Antivirushersteller in Verbindung, ohne das System neuzustarten oder herunterzufahren, indem Sie einen anderen PC mit Internet-Zugang nutzen. Schreiben Sie uns an die E-Mail- des Antivirus-Herstellers und teilen Sie das genaue Datum und die Zeit der Infizierung Ihres PCs mit, außerdem Ihre Aktivitäten auf dem PC 5 Minuten vor der Infizierung: welche Programme haben Sie gestartet, welche Webseiten besucht?
Removal instructions
Die von Gpcode.ak verschlüsselten Dateien kann man gegenwärtig noch nicht entschlüsseln. ABER mithilfe des kostenfreien Tools PhotoRec, kann man die ursprünglichen Dateien, die vom Schadprogramm nach Erstellung der verschlüsselten Kopie gelöscht wurden, wiederherstellen.
Das Tool kann MS Office Dokumente, ausführbare Dateien, PDF- und TXT- Dokumente sowie verschiedene Dateiarchive wiederherstellen, und sogar Dateien anderer Formate.
Das Tool PhotoRec ist in der letzten Version des Pakets TestDisk enthalten.
Wiederherstellung der Dateien mithilfe des Tools PhotoRec
Möglicherweise kommen viele Anwender auch ohne zusätzliche Anleitung zurecht, wir möchten Ihnen aber dennoch den Weg zur Wiederherstellung der gelöschten Dateien erklären.
Nachstehend finden Sie eine schrittweise Anleitung zur manuellen Wiederherstellung der Dateien mithilfe des Tools PhotoRec.
1. Laden Sie mithilfe eines nicht infizierten Computers das Paket TestDisk herunter, welches das Tool PhotoRec enthält (www.cgsecurity.org/testdisk-6.10-WIP.win.zip). Entpacken und speichern Sie es auf einem externen Datenträger, beispielsweise, auf einer Flash-Karte.
2. Schließen Sie den externen Datenträger mit dem Tool PhotoRec an den infizierten PC an. Das ist ungefährlich, da Gpcode.ak sich nicht selbst verbreitet und sich nach dem Start selbst gelöscht hat.
3. Starten Sie das Tool PhotoRec (Datei photorec_win.exe im Verzeichnis win des gespeicherten Pakets):
4. Wählen Sie den erforderlichen Bereich der Festplatte aus, mit dem das Tool arbeiten soll und klicken Sie zum Fortsetzen auf ENTER:
Wenn auf Ihrer Festplatte mehrere Bereiche verwendet werden, müssen Sie das für jeden Bereich einzeln wiederholen. .
5. Wählen Sie weiter das Format Tabellenbereiche und klicken Sie auf ENTER. Wahrscheinlich passt das Format "Intel":
6. Wählen Sie den erforderlichen Bereich der Festplatte aus, mit dem das Tool arbeiten soll und klicken Sie zum Fortsetzen auf ENTER:
Wenn auf Ihrer Festplatte mehrere Bereiche verwendet werden,müssen Sie das für jeden Bereich einzeln wiederholen..
7. Wählen Sie den Typ des Dateisystems und klicken Sie zum Fortsetzen auf ENTER. Allen Windows-Anwendern passt der Typ "Other":
8. Anschließend wählen Sie, wo die gelöschten Datei gesucht werden sollen und klicken zum Fortsetzen auf ENTER. Hier müssen Sie die Option "Whole" wählen, welche gelöschte Dateien auf der gesamten Festplatte sucht:
9. PhotoRec schlägt dann vor, ein Verzeichnis zum Speichern der wiederhergestellten Dateien aufzuzeigen. Mittels des vorhandenen Dateibrowsers, gehen Sie ins Wurzelverzeichnis (dieser Übergang erfolgt mithilfe der Auswahl eines Verzeichnisses "..." und Drücken der ENTER-Taste).
Im Wurzelverzeichnis sehen Sie die im System enthaltenen Festplatten. Wählen Sie den Wechseldatenträger und einen Ordner darin, wo Sie die Dateien speichern werden. Es ist sehr wichtig, dass es ein externer Datenträger ist. , im anderen Fall können die gelöschten Dateien die Festplatte beschädigen.
Um auf den folgenden Etappen Fehler zu vermeiden, erstellen Sie auf dem Wechseldatenträger vor der Wiederherstellung ein separates Verzeichnis (Beispiel: "recovered"») für die wiederhergestellten Dateien. Klicken Sie zum Fortsetzen die Taste "Y".
Nach Klick der Taste "Y" sehen Sie, wie der Wiederherstellungsprozess der Dateien erfolgt:
Warten Sie ab, bis der Scanprozess beendet ist und gehen zum nächsten Schritt über.
10. Jetzt, wo Sie die wiederhergestellten Dateien auf dem Wechseldatenträger haben, ist die Hälfte der Aufgabe erledigt. Jedoch, wenn Sie das Verzeichnis öffnen, in welchem sich die wiederhergestellten Dateien befinden, erkennen Sie Dateien, deren Namen nicht den Dateinamen auf Ihrer Festplatte entsprechen.
Dies sieht etwa so aus:
Diese Einschränkung der Wiederherstellung entsteht durch die verwendete Methode des Tools PhotoRec. Das Tool stellt zwar den Inhalt der Dateien wieder her, weiß jedoch nichts davon, wo sich diese Dateien im Datensystem befanden. Der Anwender, der Tausende wiederhergestellte Dateien mit unbekannten Namen sieht, wird konfus.
Um die Suche der für euch wertvollen Dateien zu vereinfachen, haben ich für euch das kostenfreie Tool StopGpcode entwickelt, dass man zusammen mit PhotoRec anwenden sollte.Dieses Tool sortiert die wiederhergestellten Dateien und benennt sie um.
Um die wiederhergestellten Dateien zu sortieren und umzubenennen, muss man das Tool StopGpcode auf einem anderen Computer auf eine Flash-Karte kopieren, diese an den infizierten PC anschließen und das Tool in der Befehlszeile mit bestimmten Parametern starten.
Folgende Parameter müssen ausgewählt werden:
- der Pfad zum Bereich mit den verschlüsselten Dateien, beispielsweise, "С:\"
- der Pfad, wo sich die wiederhergestellten Dateien befinden, beispielsweise, "W:\gpc\recovered"
- der Pfad, wo die Dateien mit den wiederhergestellten Namen und Pfaden gespeichert werden sollen, beispielsweise, "W:\gpc\renamed"
Das Tool durchläuft die gesamte Festplatte und vergleicht die Größen der wiederhergestellten und verschlüsselten Dateien. Auf Grundlage der Entsprechungen der Größen versucht das Programm zu erraten, wo sich die wiederhergestellten Dateien befinden und wie sie hießen.
Die wiederhergestellten Dateien mit den erratenen Namen wird vom Tool im Unterverzeichnis sorted gespeichert. Somit wird die Originalstruktur der Verzeichnisse wiederhergestellt, und man kann die Dateien wiederfinden. Dateien, deren Namen nicht wiederhergestellt werden können, speichert das Tool im Unterverzeichnis conflicted.
Das kostenfreie Tool StopGpcode kann man Kaspersky.ru herunterladen.
Mfg eure benschy |
|
