Thông tin về virus Gpcode.ak

Thông tin về virus Gpcode.ak.Chi tiết kỹ thuật Chương trình mã độc Gpcode.ak này sẽ mã hóa các file trên máy tính bị nhiễm độc. Đây là một file Windows PE EXE với kích thước 8030 byte. Cách thức hoạt động Khi được khởi chạy, virus này sẽ tạo một mutex dưới đây trong bộ nhớ để đánh dấu sự hiện diện của nó trong hệ thống: _G_P_C_. (Mutex là một cờ lập trình vẫn được sử dụng để lấy và phát hành một đối tượng). Sau đó sẽ bắt đầu quét liên tục tất cả đĩa logic để mã...
Nội dung trích xuất từ tài liệu:
Thông tin về virus Gpcode.akThông tin về virus Gpcode.akChi tiết kỹ thuậtChương trình mã độc Gpcode.ak này sẽ mã hóa các file trên máy tính bịnhiễm độc. Đây là một file Windows PE EXE với kích thước 8030 byte.Cách thức hoạt độngKhi được khởi chạy, virus này sẽ tạo một mutex dưới đây trong bộ nhớ đểđánh dấu sự hiện diện của nó trong hệ thống: _G_P_C_. (Mutex là một cờ lậptrình vẫn được sử dụng để lấy và phát hành một đối tượng).Sau đó sẽ bắt đầu quét liên tục tất cả đĩa logic để mã hóa các file trong đó.Mã hóa tất cả file của người dùng bằng các đuôi mở rộng được liệt kê trongbảng dưới đây: 7z abk abd acad arh arj ace arx asm bz bz2 bak bcb c cc cdb cdw cdr cer cgichm cnt cpp csscsv db db1 db2db3 db4 dba dbbdbc dbd dbe dbfdbt dbm dbo dbqdbx Djvu doc dokdpr dwg dxf ebdeml eni ert faxflb frm frt frxfrg gtd gz gzipgfa gfr gfd hinc igs iges jarjad Java jpg jpegJfif jpe js jsphpp htm html keykwm Ldif lst lsplzh lzw ldr manmdb mht mmf mnsmnb mnu mo msbmsg mxl old p12pak pas pdf pempfx php php3 php4pl prf pgp prxpst pw pwa pwlpwm pm3 pm4 pm5pm6 rar rmr rndrtf Safe sar sigsql tar tbb tbktdf tgz txt uuevb vcf wab xls xmlVirus này sử dụng Microsoft Enhanced Cryptographic Provider v1.0 (cótrong Windows) để mã hóa các file. Các file được mã hóa bằng thuật toánRC4. Khóa mã hóa sau đó sẽ được mã hóa bằng một khóa RSA public có độdài 1024 bit nằm trong phần thân của virus.Thuật toán mã hóa RSA chia các khóa mã hóa thành hai kiểu public vàprivate. Chỉ có các khóa public được cần thiết để mã hóa các thông báo. Mộtthông báo bị mã hóa chỉ có thể được giải mã bằng khóa private.Virus sẽ tạo một copy mã hóa cho mỗi một file gốc. Copy mã hóa sẽ giữ lạitên file gốc với phần _CRYPT được thêm vào cuối của tên file. Ví dụ:WaterLilles.jpg —file gốcWaterLilles.jpg._CRYPT —file mã hóaFile gốc sau đó sẽ bị xóa.Virus để lại một file có tên !_READ_ME_!.txt trong mỗi thư mục có chứacác file đã mã hóa. File này gồm có những nội dung sau:Your files are encrypted with RSA-1024 algorithm.To recovery your files you need to buy our decryptor.To buy decrypting tool contact us at: [censored]@yahoo.com=== BEGIN ===[key]=== END ===Các file nằm trong thư mục Program Files và file dưới đây sẽ không được mãhóa:Có thuộc tính system và hidden;Nhỏ hơn 10 byteLớn hơn 734003200 byteKhi virus đã được kích hoạt, nó sẽ tạo một file VBS để xóa thân chính bảnthân virus trong máy tính nạn nhân và tạo ra một MessageBox dưới đây hiểnthị trên màn hình:Virus không tự đăng ký bản thân nó trong registry hệ thống.Hướng dẫn khắc phụcKhôi phục fileLúc này, không thể giải mã các file đã được mã hóa bởi Gpcode. Mặc dù vậy,bạn vẫn có thể dùng PhotoRec để khôi phục các file gốc đã bị xóa bởiGpcode sau khi virus đã tạo một phiên bản mã hóa các file.Tiện ích này được sử dụng để khôi phục các tài liệu Microsoft Office, các filethực thi, tài liệu PDF và TXT,... Đây là danh sách các định dạng file được hỗtrợ.PhotoRec là một phần của TestDisk. Phiên bản mới nhất của TestDisk, nhưPhotoRec có thể tìm thấy tại đây.Dưới đây là các hướng dẫn chi tiết về cách khôi phục các file đã bị xóa bằngPhotoRec: Sử dụng một máy tính sạch khác để download TestDisk, gồm có PhotoRec. Lưu PhotoRec vào một ổ đĩa ngoài và kết nối ổ đĩa này với máy tính bị tiêm nhiễm (Gpcode.ak không thể lây nhiễm và tự xóa sau khi khởi chạy) Chạy PhotoRec (file photorec_win.exe và nằm trong thư mục win của TestDisk): Chọn ổ đĩa mục tiêu để PhotoRec tìm kiếm các file và nhấn ENTER để tiếp tục:Nếu bạn có nhiều ổ đĩa trong hệ thống, hãy thực hiện bước này cho mỗi mộtổ đĩa (nghĩa là khi khôi phục các file từ một ổ đĩa, bạn phải lặp lại quá trìnhnhư vậy cho ổ đĩa tiếp theo). Chọn kiểu bảng partition (điển hình là Intel) và nhấn ENTER để tiếp  tục. Chọn partition bạn muốn khôi phục các file và nhấn ENTER để tiếp  tục.Nếu đĩa có một vài partition, khi đó bạn cần lặp lại bước này cho mỗipartition. Chọn kiểu hệ thống file (với người dùng Windows nên chọn Other) và nhấn ENTER để tiếp tục. Chọn vị trí để tìm kiếm các file bị xóa và nhấn ENTER để tiếp tục. Chọn “Whole” để tìm kiếm toàn bộ ổ đĩa để tìm ra các file bị xóa. PhotoRec sẽ yêu cầu bạn chỉ định một thư mục đích cho các file được  khôi phục. Sử dụng trình duyệt file của PhotoRec để chuyển thư mục gốc (bằng cách chọn .. và nhấn ENTER)Thư mục gốc sẽ hiển thị các ổ đĩa nào hệ thống có. Chọn ổ đĩa removable(hoặc network) thích hợp và thư mục mà bạn muốn lưu các file được khôiphục trong đó. Nên chọn ổ đĩa ngoài, nghĩa là không chọn ổ đĩa trên máy bịnhiễm vì các file xóa có thể bị hỏng.Trước khi khôi phục các file, hãy tạo một thư mục riêng trên ổ đĩa (ví dụrecovered) và chọn lưu các file đã khôi phục vào thư mục này, để tránh cáclỗi xuất hiện sau khi khôi phục. Khi bạn đã chọn thư mục xong, hãy nhấnY.Khi đã nhấn Y, bạn sẽ thấy một quá trình khôi phục file xuất hiện. Quátrình này cần đến một chút thời gian để thực hiện.Hãy đợi để quá trình kết thúc trước khi chuyển sang bước tiếp theo. Các file được khôi phục hiện nằm trong ổ đĩa ngoài của bạn. Khi bạn  mở thư mục có chứa các file đã khôi phục, bạn sẽ thấy tên file không tương ứng với tên file ...