למשתמשי המחשב, שגם כך מוטרדים מסוגים רבים למכביר של וירוסים והונאות רשת, ישנה כעת סיבה נוספת לחשוש בגללה. האקרים אשר מצאו דרך לנעול קבצים הנמצאים על המחשב, החלו לנעול מרחוק קבצים ולסחוט את קורבנותיהם: או שתשלמו לנו כסף או שהקבצים שלכם יישארו נעולים לתמיד. כאילו שמישהו ישים לך את הדברים בכספת בלי לגלות את הקוד חברת אבטחת המידע Websense גילתה וירוס חדש, אשר נועל קבצים על המחשב ודורש בתמורה לשחרורם כופר, דיווח סוכנות הידיעות AP. את הווירוס גילתה החברה לאחר שמספר לקוחות עסקיים פנו עליה בתלונה שמישהו חסם להם את הגישה למסמכים, התמונות והגיליונות האלקטרונים שלהם.
ההאקרים חסמו את הגישה לקבצים באמצעות הצפנה. הודעה שהם הם השאירו אחריהם אומרת שכדי לקבל את המפתח לפתיחת ההצפנה, על בעלי המחשב לשלם להם כופר בסכום של 200 דולר. הקורבנות נידבקו בווירוס באמצעות גלישה לאתר נגוע באמצעות דפדפן לא מאובטח.
"הדבר מקביל למקרה אחר, שבו מישהו מגיע אליך הביתה, שם את חפצי הערך שלך בכספת ואז לא מגלה לך את צירוף המספרים שפותח אותה", מסביר אוליבר פרידריכס, מחברת סימנטק. מילה חדשה הפציעה בעולם אבטחת המידע: כופרה חברות אבטחת המידע המובילות עדכנו השבוע את האנטי-וירוסים שלהן בפרטים של הווירוס. הן אפילו המציאו כבר שם לז’אנר החדש של וירוסים אלו: Ransom-ware, או בתרגום חופשי : כופרה, על משקל רושעה ורוגלה.
ג’ו סטויארט, מומחה אבטחת מידע מחברת Lurqh מודאג למדי בגלל הוירוס הזה. הפעם, הוא אומר, הוא הצליח לפרוץ את ההצפנה של ההאקרים לקבצים, גם מבלי לשלם את דמי הכופר. אולם הוא חושש כי תהינה לוירוס הזה גרסאות מתקדמות יותר, אשר יהפכו את הפריצה של ההצפנה למסובכת הרבה יותר. לוירוסים וקודים זדוניים, הוא אומר, ישנה נטייה להתפתח ולהתייעל, ככל שהאקרים לומדים מהטעויות של עצמם.
אולם למרות החששות, ג’ו סטיוארט אומר כי הדרישה של ההאקרים לשלם כסף יכולה להיות, בסופו של דבר, גם נקודת החולשה שלהם. זאת משום שברגע שהונאה מערבת העברה של כספים, פעולה שקל יחסית לעקוב אחריה, הדבר יקל על החוקרים לעלות על עקבות ההאקרים.
בשלב זה נסגר האתר המקורי דרכו התבצעה ההדבקה הראשונית, מה שכמובן לא מונע מהאתר לקום לתחייה בשנית במקום אחר.
26/05/2005 17:54:01
cp77fk4r
הידיעה בוואלה: http://computers.walla.co.il/?w=/4000/720607
הידיעה בSymantec: http://www.sarc.com/avcenter/venc/data/trojan.pgpcoder.html
26/05/2005 18:11:37
cp77fk4r
לוירוס קוראים "Virus.Win32.Gpcode.b" / "trojan.pgpcoder", ואחרי שהוא מגיע למחשב ומתפרס שם, הוא נועל את הקבצים מסוג: קוד: .asc .db .db1 .db2 .dbf .doc .htm .html .jpg .pgp .rar .rtf .txt .xls .zip
בכדי לבטל את הפעלת הטרויאן בכל פעם שהמחשב עולה בצעו את הפעולות הבאות:
כנסו לTaskmanager, ותסגרו את התהליך "services".
כנסו לרג’סטרי, ובידקו מה יש בתוך הערך "services" במפתח: קוד: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
גשו לשם- מחקו את הקובץ, ולאחר מכן מחקו את הערך הנ"ל.
מחקו גם את הערך "cur_not_done" מהמפתח: קוד: HKEY_CURRENT_USER\Software\Microsoft\Sysinf
הוירוס גם יוצר קובץ שבו הרשימה של כל הקבצים הנעולים, הוא יוצר את הקובץ בתיקיה %Temp%, {בכל מערכת הפעלה הוינדוס שונה, בכדי לדעת מה הערך של התיקיה או שפשוט כנסו לStart=>Run ושם תכתבו "%Temp%", או שכנס לStart=>Run, שם תקלידו Cmd ושם תקלידו Set ותחפשו את השורה שמתחילה ב "Temp="}.
מחקו מהתיקיה הזאת את הקובץ autosave.sin.
הוירוס יוצר קובץ בשם "ATTENTION!!!.txt" שבו כתוב את פרטי המייל שצריך לשלוח אליו את הכופר.
גלישה בטוחה :).[ההודעה נערכה על-ידי cp77fk4r ב-26/05/2005 18:21:10]
27/05/2005 10:57:13
Sh3llop
זה דבר מוזר.. טוב תודה על הכתבה..
27/05/2005 17:35:42
roev
חחחחח טוב זה אחד הדברים הכי מצחיקים ששמעתי בזמן האחרון גאון מי שבנה תכנת את זה, רק על היצירתיות מגיע לו ח"ח
28/05/2005 17:33:19
Z-oro
הרעיון עצמו דיי מקורי תודה על העדכון ותודה על זה שהסברת איך ל"עקוף" את זה
29/05/2005 01:05:44
cp77fk4r
בבקשה, עדיין לא נתקלתי בוירוס הנ"ל, את המידע אספתי מהרשת :).
29/05/2005 01:15:26
-Hawk-
וואי סוג ממש חכם של וירוסים! תודה סיפי ותודה גם על העזרה למי שיצטרך..
29/05/2005 01:37:09
cp77fk4r
בבקשה, אבל שוב- את כל המידע אספתי מהרשת :).
וכן, באמת רעיון ממש נחמד, אני כניראה אכתוב על זה משהו בקרוב :).
עמודים:
1
