» »

Trojan.Gpcoder.G

Trojan.Gpcoder.G

«
1
2

Kepica ::

Pri enem kolegu imam težavo z omenjenim trojancem, ki javlja sledeče:
Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this
of all data irretrievably spoiled. Be
careful when you enter the code!

Veliko datotek je kodiral, in so enostavno neuporabni.

Kakšen nasvet kako ga vzpostavit predhodno stanje?

Kepica ::

Res nihče? :-( Potem pa sem v riti...

gpet ::

Tudi pri eni moji stranki se je pojavil enak problem. Zaenkrat iščem po netu informacije. Kontaktiral sem tudi slovenski F-secure. Zaenkrat nekih vzpodbudnih informacij ni, čeprav so bile nekatere stare oblike trojancev, ki zakodirajo datoteke obvladljive v smislu, da se je dalo datoteke odkodirati.
lep pozdrav

Kepica ::

tudi jaz sem se obrnil na F-secure...en mi je predlagal F-secure rescue CD. Bom probal...Restore point si že probal?

amigo_no1 ::

Si že kaj googlal za "Trojan.Gpcoder.G" ?

Odpri en tak zakodiran fajl v hexeditorju in poglej kaj je notri.

http://spywareremovalguides.com/trojan-...
http://www.symantec.com/security_respon...
http://www.sophos.com/en-us/threat-cent...

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

wanderer ::

microsoft:

Files corrupted by this malware will NOT be restored by detecting and removing this threat. To restore functionality to the computer, the corrupted file(s) must be restored from backup.


Datoteke enkriptane z nekaterimi starejšimi verzijami trojanca je bilo še možno dekodirati, za Gpcoder.G pa bo najbrž težka :\

gpet ::

Se bojim, da glavni problem ni kako očistiti računalnik trojanca (linki, ki jih je objavil amigo_no1 ali pa mogoče restore point). Problem je kako dekodirati nazaj uporabniške datoteke! Ne verjamem, da odstranitev trojanca povrne tudi datoteke v prvotno stanje.
lep pozdrav

amigo_no1 ::

Špekuliranje kaj če, dokler ne pogledaš v hexeditorju ne veš kako je stanje.

Jaz bi se vprašal kako vam uspeva dobiti to to svinjarijo v sistem (zanjo ni lepšega kot admin privilegiji in butast uporabnik) ??

Ziga Dolhar ::

Najprej pa naredi kopijo celotnega diska.
https://dolhar.si/

gpet ::

Žal so naše stranke tiste, ki jim to uspeva dobiti v sistem, mi pa potem rešujemo kar se rešiti da.
V hex-editorju se ne vidi nič določljivega. Začetek datoteke je OK (cca. 70 začetnih bytov pusti nedotaknjenih), ostalo pa je zmešnjava. Če bi šlo za kakšen enostaven algoritem kodiranja, bi se ga na podlagi primerjanja z nezakodirano vsebino (če seveda originalna datoteka še nekje obstaja) mogoče še dalo ugotoviti, tako pa :-(
lep pozdrav

Tilen ::

Če so podatki vredni veliko več kot 50 eur potem je rešitev tako ali tako na dlani.>:D
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

gpet ::

Ja, a pa misliš, da če pošlješ 50 EUR, res dobiš nekakšen magično kodo, ki zadeve odkodira?
lep pozdrav

Tilen ::

Zakaj pa ne, če gre za njegov program? Datoteke, če so res kriptirane, so kriptirane s takšnim geslom, da jih z bruteforce tako ali tako najverjetneje ne bo mogoče dekriptirati. Če gre za namensko programsko opremo, kot je recimo Truecrypt in ima on dejansko kodo katero je dobil na email, ko je stranka prenesla virus in so se podatki kriptirali, je 50 EUR za rešitev problema še dejansko poceni. Moram pa reči, da je tole zelo podlo.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

gpet ::

Ponavadi takšni lumpi samo poberejo denar, saj se ne želijo še dodatno izpostavljati preko dodatne, za njih nepotrebne komunikacije. Glede brute force pa se bojim, da imaš prav.
lep pozdrav

Tilen ::

Zato pa imaš ponujeno plačilno sredstvo Paysafecard. Nobene avtentikacije. Ti mu daš kodo in on s to kodo lahko potem na internetu nekaj kupi (isto kot npr Mobi kartica). Verjetno kak mulc s preveč časa in dobro idejo za obiranje neveščih uporabnikov. Njegov namen je pridobit denar, ne tebi uničit datoteke. Plačaš in obdržiš datoteke ali formatiraš, če si je dobro zamislil. Tole je sicer že precej hardcore.

Please, be informed that manual removal of Trojan.gpcoder.G malware is a cumbersome procedure and does not always ensure complete deletion of the Trojan.gpcoder.G, since some files might be hidden or may automatically reanimate themselves later.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

RejZoR ::

Ene verzije GPCoderja so imele bug, da si lahko obnovil nazaj vse fajle. Sam ne vem točno do katere verzije je to veljalo...
Angry Sheep Blog @ www.rejzor.com

Tilen ::

Symantec ima tukaj razloženo po kakšnem principu tole deluje.
413120536c6f76656e696a612c20642e642e

Kepica ::

Še vedno nisem probal restore pointa...je na tej točki sploh smiselno, saj so podatki že kriptirani?

Kepica ::

mislite, da bi ta opcija delovala:
http://www.securelist.com/en/descriptio...

Tilen ::

Preden karkoli spreminjaš naredi popolno kopijo diska na eksterni disk.
413120536c6f76656e696a612c20642e642e

RejZoR ::

System Restore ne bo pomagal, ker ne vpliva na user saved fajle ampak samo na sistemske datoteke (EXE, DLL, register itd).
Angry Sheep Blog @ www.rejzor.com

Qcube ::

Če je tako kot piše na tistem linku se mogoče da dobiti nekaj podatkov nazaj s kakim recovery data softwarjem(recuva ipd.). Tam piše, da virus najprej ustvari novo kriptirano datoteko in nato staro izbriše, zato je mogoče da se da dobiti kaj kar ni bilo še prepisano na disku nazaj.

Kepica ::

Mater...to je nekaj dela...bom videl kaj pravi lastnik koliko je pomembna vsebina. Kak način posameznih datotek obnovit poznate?

Deda46 ::

Mi smo tudi dobili ta virus na dve različni mašini na dveh različnih lokacijah. Na njih sta delala (popravljala) dva različna fanta, in prvi odziv je bil brisanje spyware.
Verjetno je brisanje spyware v tem primeru napaka, ker sedaj tudi če bi plačali zahtevanih 50€ ne bi morali dekriptirati (če bi dobili kodo), se kdo strinja??

Pazite ker kriptira tudi na mapiranih pogonih (v našem primeru strežnik), če imate strežnik preverite podatke in restorajte iz backupa preden si ga prepišete.

Če so komu podatki toliko pomembni da bo plačal, naj prosim objavi če je dobil podatke nazaj.
Ali je za vse nas enak key za dekripcijo??? Ali ima vsak unikatnega (malo dvomim).
Če plača 50 ljudi pa je key enak, damo po 1€, najraje ne bi dal nič.
Priznam pa da je ideja za tem 'virusom' boleče dobra :(

5er--> ::

Vsak ma unikaten key (kar piše tudi Symantecovem linku).

Deda46 ::

Odlično če je vsak key unikaten, potem če plačam 50€ on kar iz zraka ve ker key mi poslat :)
Zelo lepo, se pravi ne plačevat...

AngelOfDeath ::

Moraš mu poslat tudi svojo številko... Ki ti jo trojanec zgenerira in je unikatna za tvoj računalnik. Jaz bi kar lepo formatiral. Ker s plačilom ne veš če boš rešil težave, vzpodbudil pa ga boš da program še bolje napiše.
edit: Slovnica

Deda46 ::

To bi bilo logično, sicer je nisem nikjer opazil, mogoče tudi zato ker sem čistil rač.
Se strinjam, ni za plačevat, čeprav bo verjetno vseeno dovolj zaslužil...

Tilen ::

Deda46 je izjavil:

Odlično če je vsak key unikaten, potem če plačam 50€ on kar iz zraka ve ker key mi poslat :)
Zelo lepo, se pravi ne plačevat...


Seveda ve, ker dobi ključ iz tvojega PC-ja na svoj email ali po kateri drugi poti.
413120536c6f76656e696a612c20642e642e

mitfif ::

Ravnokar preizkušam spodnjo rešitev:

Rešitev

Mislim, da pomaga.

Tilen ::

SHA256: 0b94fea9e204e4dfe48241a5840f9cb89083fc1ea255f39a0edee9966f7f74c6
SHA1: 44516198e8a7ccf57bd39d9b2ac4c09cfca04d8f
MD5: 1c4d7b001636e5547240d430cabe5638
File size: 242.3 KB ( 248120 bytes )
File name: te94decrypt.exe
File type: Win32 EXE
Detection ratio: 0 / 42
Analysis date: 2012-04-11 22:30:13 UTC ( 0 minutes ago )
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

Kepica ::

mitfif je izjavil:

Ravnokar preizkušam spodnjo rešitev:

Rešitev

Mislim, da pomaga.



misliš? ali pomaga ali pa ne....preveri in povej. :-)

saraja ::

Prosim za navodila, če ti uspe. Hvala!

main ::

Pozdravljeni.

Tudi nama s fantom se je v nedeljo pojavil isti trojanc.
Če je že komu uspelo dekodirati datotke, prosim za navodila.
Ob enem prosim še za napotek, kako se v bodoče izogniti takim "smotanim" trojancem?
Ali je morda problem v neoriginalnih Windovsih, ker antivirusni program imava, ravno tako požarni zid?

Hvala in lp.

saraja ::

Izbrskala sem nekaj strvari na to temo...program te84decrypt (drweb), ki naj bi ti dekodiral datoteke ali pa PhotoRec. Nikjer pa ne najdem podatka ali je potrebno najprej odstraniti virus gpcoder ali najprej dekodirati datoteke. Virus naj bi namreč ustvaril datoteka za dešifriranje in če mi jo antivirusni program izbriše lahko ostanem brez tega...ali bo potem težava s popravilom datotek??
Kdorkoli ima kakšno idejo, izkušnjo, prossiiimm.

Mr Hilter ::

1. kloniraj disk
2. igraj se na kloniranem disku
3. gor je že en link na majorgeeks.
4. zakaj so te viruse dobile samo punce? Howtogetahotguy.exe???

mitfif ::

Kepica je izjavil:

mitfif je izjavil:

Ravnokar preizkušam spodnjo rešitev:

Rešitev

Mislim, da pomaga.



misliš? ali pomaga ali pa ne....preveri in povej. :-)



Deluje, takrat še nisem bil 100%, ker je delalo vse skupaj slabe tri ure. Vse datoteke .jpg, .doc, .avi, .mpg itd. duplira, zato traja malo več časa. Skratka, prijatelju sem rešil zelo pomembne datoteke. Kako je dobil virus nima pojma ( verjetno otroci ).

Kepica ::

To deluje:
http://forums.majorgeeks.com/showthread...

Hvala bogu. Vso srečo ostalim.

katjeszoo ::

Imam isti problem. Sem poiskusila na zgornjem linku. Ko kliknem continue mi javi wrong key.

Kepica ::

zaženi cmd in vpiši:
winXP:
"pot do programa v narekovajih (priporočam, da ga kar not potegneš)" -k 85

Če pa delaš na win 7 pa vpiši v cmd to:
start pot do programa -k 85


bo šlo?

katjeszoo ::

Bojim se da ne:) Kaj je CMD? Kje bom to našla?

Kepica ::

Pri XP greš na start, ter v zagonsko vrstico (zaženi) vpiši cmd, ter potrdiš, nakar se ti odpre črno okno in vneseš podatke, ki so vneseni v prvi vrstici:

V drugi vrstici so podatki ki jih vnese uporabnik win 7.

Pritisneš vredu in program se ti požene, še poženeš tega in je to to. Pazi da imaš na disku dovolj prostora, ker se ti bodo podatki podvojili. Program kriptiranih ne pobriše, jih moraš ročno, ker zasedajo prostor.

Zgodovina sprememb…

  • spremenil: Kepica ()

katjeszoo ::

Javi mi tole. Kaj sedaj? Vnaprej hvala za pomoč.


Microsoft Windows XP [različica 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator> "pot do programa" -k 85
»"pot do programa"« ni prepoznan kot notranji ali zunanji ukaz,
izvedljiv program oziroma paketna datoteka.

Zgodovina sprememb…

  • spremenilo: katjeszoo ()

Kepica ::

hehehehehehe....

pot do programa sem mislo, da boš sama napisala dejansko pot do programa. :-)

Najbolje je da si odpreš cmd, pa potem programček, ki si si ga shranila na rač. potegneš z miško v cmd, kjer ti bo sam izpisal pot, nato še ročno pripiši -k 85.

bo šlo...?

katjeszoo ::

hehehehehehehe,
se vidi, da mi zadeve niso ravno poznane.
Ko sem poštekala kaj sem delala narobe, sem se tudi jaz začela ful smejat :)
Skratka, deluje, juhuuu :)
Sedaj podvaja podatke :)
Vprašala bi še, ali bi bilo dobro, da na novo naložim Windovs XP?

Kepica, najlepša HVALA za pomoč in potrpežljivost.

connel ::

Jaz vsekakor bi še enkrat inštaliral.

Kepica ::

Škodit ne more. Predlagam, da si arhiviraš podatke, ki so ti pomembni, shraniš nekam in res zadeve na novo namestiš. Čeprav ob pravilni odstranitvi virusa ne bi smelo bit težav.

Z veseljem pomagam, ker vem kako so takšni trenutki up jemajoči.

katjeszoo ::

Sporočam, da je zadeva uspešno zaključena :)
Sem si res oddahnila, da sem dobila nazaj svoje dokumente.
Bom za vsak slučaj še enkrat vse inštalirala.
Kepica, še enkrat najlepša hvala za vse napotke. Brez tebe in tvoje potrpežljivosti ne bi šlo.
connel, hvala tudi tebi za odgovor.

Lep večer še naprej.

connel ::

Ni za kaj. Aja, dokumente pa to, shranjuj ali na drugo particijo, drug disk ali usb ključek oz. narediš kopije, tko da če gre kaj narobe s sistemom, imaš še vedno na voljo kopijo. En sam primerek je precej slaba ideja ;)

Duhec ::

Odlično deluje in hvala za info !
Najhitreje je, da kar desno klikneš na ta decrypt te94decrypt.exe programček, ustvariš na namizju bližnjico in v lastnostih te bližnjice v vrstici Cilj: kjer se že nahaja te94decrypt.exe na koncu vrstice dopišeš -k 85 ,shraniš in poženeš program.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Virus mbed

Oddelek: Pomoč in nasveti
81215 (782) mat xxl
»

Cryptowall 3.0 virus

Oddelek: Pomoč in nasveti
437483 (5537) bambam20
»

Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15444160 (26200) BorutK-73
»

Po Sloveniji se širi Cryptolocker (strani: 1 2 )

Oddelek: Novice / Varnost
6131827 (18823) alro
»

Virus ki zahteva 50€

Oddelek: Loža
142358 (1792) KoMar-

Več podobnih tem