RSS Kanäle | Diskussionen | Umfragen | Site Map




Alle Bedrohungen

Viren

Hacker

Spam
Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog


Das Malware Medium
Malware-Typen
Wer kreiert Malware?
Die Geschichte der Schadprogramme
Malware Trends
Wenn Ihr Computer infiziert ist

 
Suche nach Malware Beschreibungen

 

  Home / Viren / Virus Enzyklopädie / Malware-Typen / Klassische Viren / File and Boot Viruses

Virus.Win32.Gpcode.ak

Andere Version: .ac, .ae, .af, .ag, .ai, .f

Datum: Wann entdeckt? 04 Jun 2008 15:39 GMT
Datum der Veröffentlichung 06 Jun 2008
Behavior Virus
Plattform Win32

Technical Details

Schadprogramm, das auf dem infizierten Computer Anwender-Dateien verschlüsselt. Es handelt sich um eine Windows-Anwendung (PE EXE-Datei) und hat eine Größe von 8030 Bite.

Payload

Nach dem Start erstellt der Virus im Speicher des PCs eine einzigartige Kennzeichnung (mutex) _G_P_C_, zur Identifizierung seiner Anwesenheit im System.

Anschließend sucht er auf allen logischen Platten nach Dateien zum Verschlüsseln. Der Virus verschlüsselt alle gefundenen Anwender-Dateien mit den folgenden Erweiterungen:

7z abk abd acad
arh arj ace arx
asm bz bz2 bak
bcb c cc cdb
cdw cdr cer cgi
chm cnt cpp css
csv db db1 db2
db3 db4 dba dbb
dbc dbd dbe dbf
dbt dbm dbo dbq
dbx Djvu doc dok
dpr dwg dxf ebd
eml eni ert fax
flb frm frt frx
frg gtd gz gzip
gfa gfr gfd h
inc igs iges jar
jad Java jpg jpeg
Jfif jpe js jsp
hpp htm html key
kwm Ldif lst lsp
lzh lzw ldr man
mdb mht mmf mns
mnb mnu mo msb
msg mxl old p12
pak pas pdf pem
pfx php php3 php4
pl prf pgp prx
pst pw pwa pwl
pwm pm3 pm4 pm5
pm6 rar rmr rnd
rtf Safe sar sig
sql tar tbb tbk
tdf tgz txt uue
vb vcf wab xls
xml

Zum Verschlüsseln der Dateien verwendet der Virus ins Betriebssystem eingebaute Crypt-Algorithmen (Microsoft Enhanced Cryptographic Provider v1.0). Die Dateien werden mithilfe des RC4-Algorithmus verschlüsselt. Der Chiffrierschlüssel wird danach mit einem öffentlichen RSA-Schlüssel (public key) mit einer Länge von 1024 bit verschlüsselt, der im Viren-Body enthalten ist.

Der RSA-Algorithmus verwendet ein Schlüsselpaar, bestehend aus einem privaten Schlüssel, der zum Entschlüsseln oder Signieren von Daten verwendet wird, und einem öffentlichen Schlüssel, mit dem man verschlüsselt oder Signaturen prüft.

Der Virus erstellt eine verschlüsselte Kopie der Datei, die den Original-Namen der Datei beibehält und ergänzt die Erweiterung _CRYPT. Beispiel:

Original-Datei: WaterLilles.jpg

Verschlüsselte Datei: WaterLilles.jpg._CRYPT

Anschließend wird die Original-Datei gelöscht.

In jedes Verzeichnis, dessen Dateien verschlüsselt wurden, positioniert das Schadprogramm «!_READ_ME_!.txt» - Datei mit folgendem Inhalt:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [censored]@yahoo.com

=== BEGIN ===
[key]
=== END ===

Dateien, die sich im Verzeichnis Program Files befinden, werden nicht verschlüsselt. Der Virus verschlüsselt keine Dateien:

mit den Attributen "System" oder "versteckte"; die kleiner als 10 Byte sind; mit einer Länge über 734003200.

Während seiner Aktivitäten registriert sich der Virus nicht im System-Register.

Nach Beendigung seiner Aktivitäten erstellt der Virus eine VBS-Datei, die den Hauptbody des Virus vom Computer entfernt und erstellt auf dem Bildschirm die folgende MessageBox:

In diesem Fall setzen Sie sich mit uns in Verbindung, ohne das System neuzustarten oder herunterzufahren, indem Sie einen anderen PC mit Internet-Zugang nutzen.

Schreiben Sie uns an die E-Mail-Adresse stopgpcode@kaspersky.com und teilen Sie das genaue Datum und die Zeit der Infizierung Ihres PCs mit, außerdem Ihre Aktivitäten auf dem PC 5 Minuten vor der Infizierung: welche Programme haben Sie gestartet, welche Webseiten besucht?

Removal instructions

Die von Gpcode.ak verschlüsselten Dateien kann man gegenwärtig noch nicht entschlüsseln. ABER mithilfe des kostenfreien Tools PhotoRec, kann man die ursprünglichen Dateien, die vom Schadprogramm nach Erstellung der verschlüsselten Kopie gelöscht wurden, wiederherstellen.

Das Tool kann MS Office Dokumente, ausführbare Dateien, PDF- und TXT- Dokumente sowie verschiedene Dateiarchive wiederherstellen, und sogar Dateien anderer Formate.

Das Tool PhotoRec ist in der letzten Version des Pakets TestDisk enthalten.

Wiederherstellung der Dateien mithilfe des Tools PhotoRec

Möglicherweise kommen viele Anwender auch ohne zusätzliche Anleitung zurecht, wir möchten Ihnen aber dennoch den Weg zur Wiederherstellung der gelöschten Dateien erklären.

Nachstehend finden Sie eine schrittweise Anleitung zur manuellen Wiederherstellung der Dateien mithilfe des Tools PhotoRec.

  1. Laden Sie mithilfe eines nicht infizierten Computers das Paket TestDisk herunter, welches das Tool PhotoRec enthält (www.cgsecurity.org/testdisk-6.10-WIP.win.zip). Entpacken und speichern Sie es auf einem externen Datenträger, beispielsweise, auf einer Flash-Karte.

  2. Schließen Sie den externen Datenträger mit dem Tool PhotoRec an den infizierten PC an. Das ist ungefährlich, da Gpcode.ak sich nicht selbst verbreitet und sich nach dem Start selbst gelöscht hat.

  3. Starten Sie das Tool PhotoRec (Datei photorec_win.exe im Verzeichnis win des gespeicherten Pakets):

  4. Wählen Sie den erforderlichen Bereich der Festplatte aus, mit dem das Tool arbeiten soll und klicken Sie zum Fortsetzen auf ENTER:

    Wenn auf Ihrer Festplatte mehrere Bereiche verwendet werden, müssen Sie das für jeden Bereich einzeln wiederholen..

  5. Wählen Sie weiter das Format Tabellenbereiche und klicken Sie auf ENTER. Wahrscheinlich passt das Format "Intel":

  6. Wählen Sie den erforderlichen Bereich der Festplatte aus, mit dem das Tool arbeiten soll und klicken Sie zum Fortsetzen auf ENTER:

    Wenn auf Ihrer Festplatte mehrere Bereiche verwendet werden, müssen Sie das für jeden Bereich einzeln wiederholen..

  7. Wählen Sie den Typ des Dateisystems und klicken Sie zum Fortsetzen auf ENTER. Allen Windows-Anwendern passt der Typ "Other":

  8. Anschließend wählen Sie, wo die gelöschten Datei gesucht werden sollen und klicken zum Fortsetzen auf ENTER. Hier müssen Sie die Option "Whole" wählen, welche gelöschte Dateien auf der gesamten Festplatte sucht:

  9. PhotoRec schlägt dann vor, ein Verzeichnis zum Speichern der wiederhergestellten Dateien aufzuzeigen. Mittels des vorhandenen Dateibrowsers, gehen Sie ins Wurzelverzeichnis (dieser Übergang erfolgt mithilfe der Auswahl eines Verzeichnisses "..." und Drücken der ENTER-Taste).

    Im Wurzelverzeichnis sehen Sie die im System enthaltenen Festplatten. Wählen Sie den Wechseldatenträger und einen Ordner darin, wo Sie die Dateien speichern werden. Es ist sehr wichtig, dass es ein externer Datenträger ist., im anderen Fall können die gelöschten Dateien die Festplatte beschädigen.

    Um auf den folgenden Etappen Fehler zu vermeiden, erstellen Sie auf dem Wechseldatenträger vor der Wiederherstellung ein separates Verzeichnis (Beispiel: "recovered"») für die wiederhergestellten Dateien. Klicken Sie zum Fortsetzen die Taste "Y".

    Nach Klick der Taste "Y" sehen Sie, wie der Wiederherstellungsprozess der Dateien erfolgt:

    Warten Sie ab, bis der Scanprozess beendet ist und gehen zum nächsten Schritt über.

  10. Jetzt, wo Sie die wiederhergestellten Dateien auf dem Wechseldatenträger haben, ist die Hälfte der Aufgabe erledigt. Jedoch, wenn Sie das Verzeichnis öffnen, in welchem sich die wiederhergestellten Dateien befinden, erkennen Sie Dateien, deren Namen nicht den Dateinamen auf Ihrer Festplatte entsprechen.

    Dies sieht etwa so aus:

Diese Einschränkung der Wiederherstellung entsteht durch die verwendete Methode des Tools PhotoRec. Das Tool stellt zwar den Inhalt der Dateien wieder her, weiß jedoch nichts davon, wo sich diese Dateien im Datensystem befanden. Der Anwender, der Tausende wiederhergestellte Dateien mit unbekannten Namen sieht, wird konfus.

Um die Suche der für Sie wertvollen Dateien zu vereinfachen, haben wir für Sie das kostenfreie Tool StopGpcode entwickelt, dass man zusammen mit PhotoRec anwenden sollte. Dieses Tool sortiert die wiederhergestellten Dateien und benennt sie um.

Um die wiederhergestellten Dateien zu sortieren und umzubenennen, muss man das Tool StopGpcode auf einem anderen Computer auf eine Flash-Karte kopieren, diese an den infizierten PC anschließen und das Tool in der Befehlszeile mit bestimmten Parametern starten.

Folgende Parameter müssen ausgewählt werden:

  • der Pfad zum Bereich mit den verschlüsselten Dateien, beispielsweise, "С:\"
  • der Pfad, wo sich die wiederhergestellten Dateien befinden, beispielsweise, "W:\gpc\recovered"
  • der Pfad, wo die Dateien mit den wiederhergestellten Namen und Pfaden gespeichert werden sollen, beispielsweise, "W:\gpc\renamed"

Das Tool durchläuft die gesamte Festplatte und vergleicht die Größen der wiederhergestellten und verschlüsselten Dateien. Auf Grundlage der Entsprechungen der Größen versucht das Programm zu erraten, wo sich die wiederhergestellten Dateien befinden und wie sie hießen.

Die wiederhergestellten Dateien mit den erratenen Namen wird vom Tool im Unterverzeichnis sorted gespeichert. Somit wird die Originalstruktur der Verzeichnisse wiederhergestellt, und man kann die Dateien wiederfinden. Dateien, deren Namen nicht wiederhergestellt werden können, speichert das Tool im Unterverzeichnis conflicted.

Das kostenfreie Tool StopGpcode kann man von unserer Webseite herunterladen.

 		 

Copyright © 1996 - 2010
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com