|
|
|
|
| Encyclopédie Virus |  |
Alertes | |
Analyses | |
News | |
Glossaire |
 |
| ||||||
|
| ||||||
|
| ||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Home / Virus / Encyclopédie Virus
Virus.Win32.Gpcode.akOther versions: .ac, .ae, .af, .ag, .ai, .f
Programme malicieux qui chiffre les données de l'utilisateur sur le PC victime. Il s'agit d'une application Windows (fichier PE EXE) de 8030 octets.
Une fois exécuté, le virus crée en mémoire un identifiant unique (mutex) _G_P_C_, pour indiquer sa présence dans le système. Le virus passe ensuite en revue tous les disques logiques à la recherche de fichiers appropriés au chiffrement. Le virus chiffre tous les fichiers utilisateurs aux extensions suivantes :
Le programme malicieux utilise Microsoft Enhanced Cryptographic Provider v1.0 (intégré dans Windows) pour chiffrer les fichiers. Les fichiers sont cryptés à l'aide de l'algorhitme RC4. La clé de chiffrement est ensuite chiffrée à l'aide d'une clé publique RSA (1024 bit) présente dans le corps du virus. L'algorithme RSA présente deux types de clés de chiffrement - privée et publique. Pour crypter les messages, une clé publique suffit. Un message chiffré lui ne peut être décrypté qu'à l'aide d'une clé privée. Le virus crée une copie cryptée de chaque fichier, avec le nom et l'extension d'origine, et y ajoute _CRYPT. Exemple : Fichier d'origine : WaterLilles.jpg Fichier chiffré : WaterLilles.jpg._CRYPT Puis le fichier d'origine est supprimé. Dans chaque répertoire où des fichiers ont été chiffrés, le programme malicieux place un fichier «!_READ_ME_!.txt» avec le message suivant : Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: [censored]@yahoo.com === BEGIN === [key] === END === [Traduction: Vos fichiers sont chiffrés par un algorithme RSA-1024. Pour restaurer vos fichiers vous devez acheter notre décodeur. Pour acheter le décodeur, contactez-nous à l'adresse ********@yahoo.com.] Les fichiers du répertoire Program Files ne sont pas chiffrés. Ne sont pas non plus chiffrés les fichiers : aux attributs «système» et «caché»; Tout au long du processus de chiffrement, le virus ne s'enregistre pas dans le système de registre. Une fois la procédure terminée, le virus crée un fichier VBS qui supprime le code principal du virus et affiche une boite de dialogue sur l'écran :  Dans ce cas-là, SANS REDEMARRER et SANS ETEINDRE le système, contactez-nous depuis un autre PC doté d'une connexion Internet. Ecrivez nous à stopgpcode@kaspersky.com, indiquez la date et l'heure exactes de l'infection, et décrivez dans la mesure du possible le comportement de l'ordinateur pendant les 5 minutes qui ont précédé l'infection : quels programmes et quels sites web vous avez ouvert. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Copyright © 1996 - 2009
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
Email: webmaster@viruslist.com
