Virus.Win32.Gpcode.ai ve kurtulma yolu

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte4
Yottabyte4
Mesajlar: 46474
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek
Teşekkür etti: 4602 kez
Teşekkür edildi: 3916 kez

Virus.Win32.Gpcode.ai ve kurtulma yolu

Mesaj gönderen velociraptor »

virüsü yedikten sonra cikan uyari:
Dosyalarınız RSA-4096 algoritması ile sifreledik, bizim yazılım olmadan açmanız yıllar alır. Son 3 aylık özel bilgilerinizi aldık.Dosyaları tekrar kullanılır hale getirmek istiyorsanız, yazılımımız 300$.
Yazılımı satın almak için bizimle kisisel kodunuz ile irtibata geçin. Satın alma isleminden sonra size çözücü yazılımı gönderecegiz. Eger 15'ine kadar irtibata geçmezseniz, bilgilerinizi kaybedecek ve bilgilerinizi baskalarıyla paylasacagız"

kesfedilme tarihi: 16 Temmuz 2007
yayilma:
Virüs ,kendini asagidaki sistem registrylerine kopyalar:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<encryption key>"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"

Bu üstteki sistem anahtarlari düzenli olarak sistem processes leri tarafindan kontrol edildiginden , virüs kodlarini buraya inject eder , sonrasinda sisteminizdeki
hemen hemen tüm dosyalari sifreler ve iclerine asagidaki yaziyi iceren bir text disyasi koyar:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.To decrypt your files you need to buy our software. The price is $300.To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Eger sisteminizde güncel bir antivirüs yoksa asagidaki yollar ile bu virüsten kurtulabilirsiniz:

1. sistem registry anahtar degerine herhangi bir isaret ila edelim örn:ntos.exe_ ye ( _ ) isareti ilave edildi

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"

2.Pc yi yeniden baslatalim

3.Windows sistem dizininden ntos.exe yi silelim

4.Virüs dosyalarinizi sifrelediginden acmak icin Kaspersky nin özel yazilimindan faydalanacagiz:
http://support.kaspersky.com/viruses/co ... =193238496

Ceviri: Velociraptor
kaynak:
http://www.viruslist.com/en/viruses/enc ... sid=164339
Başa dön
Cevapla

“PC güvenlik” sayfasına dön