PGPCoder

PGPCoder
트로이 목마.PGPCoder
공용명Gpcode
기술명
  • 트로이 목마.PGPCoder,
  • 바이러스.윈32.Gpcode,
  • TROJ_PGP코더.[letter] (Trend Micro)
분류트로이 목마
격리2005-05-20

PGPCoder(PGPCoder) 또는 GPCode(GPCode)는 감염된 컴퓨터의 파일을 암호화한 다음 이러한 파일을 공개하기 위해 몸값을 요구하는 트로이 목마인데, 이는 랜섬웨어(landomware) 또는 암호 해독학(cryptoviology)이라고 불리는 행동의 일종이다.

트로이 목마

컴퓨터에 설치되면 트로이 목마는 두 개의 레지스트리 키를 생성하는데, 하나는 시스템 시작 시마다 실행되도록 하기 위한 것이고, 두 번째는 악성 코드로 분석된 파일 수를 세면서 감염된 컴퓨터에서 트로이 목마의 진행 상황을 모니터링하기 위한 것이다.

일단 실행되면 트로이 목마는 자신의 임무에 착수한다. 즉, 디지털 암호화 키를 사용하여 컴퓨터 드라이브에서 찾은 모든 파일을 암호화하는 것이다. 암호화된 파일들은 코드에 나열된 파일들에 해당하는 확장자를 가지고 있다.이러한 확장자는 .doc, .html, .jpg, .xls, .zip 및 .rar를 포함한다.

협박은 트로이 목마가 각 디렉토리에 있는 텍스트 파일을 떨어뜨리는 것으로 완료되며, 어떻게 해야 할지에 대한 지침이 담겨 있다.사용자가 e-골드 또는 리버티 리저브 계정에 100~200달러의 몸값을 지불한 후 파일 공개를 요청해야 하는 이메일 주소가 제공된다.[1]

트로이 목마와 싸우기 위한 노력

몇몇 Gpcode 변종이 성공적으로 구현된 반면,[2] 많은 변종들은 사용자가 몸값을 지불하지 않고도 데이터를 복구할 수 있는 결함을 가지고 있다.Gpcode의 첫 번째 버전은 쉽게 깨질 수 있는 맞춤식 암호화 루틴을 사용했다.[3]변종 Gpcode.ak는 암호화된 파일을 새 위치에 기록하고 암호화되지 않은 파일을 삭제하며 삭제되지 않은 유틸리티가 일부 파일을 복구할 수 있도록 한다.일단 암호화되지 않은이 발견되면, 이것은 때때로 다른 파일을 해독하기에 충분한 정보를 제공한다.[4][5][6]변형 Gpcode.am은 대칭 암호화를 사용하므로 키 복구가 매우 용이하다.[7]2010년 11월 말에 Gpcode라는 새로운 버전이 나왔다.도끼가[8] 신고되었다.보다 강력한 암호화(RSA-1024, AES-256)를 사용하고, 암호화된 파일을 물리적으로 덮어쓰므로 복구가 거의 불가능하다.[9]

카스퍼스키랩은 프로그램 작성자와 접촉해 개인이 진짜 작가인지 확인할 수 있었지만, 지금까지 자신의 실제 세계 정체성을 파악하지 못하고 있다.[10]

참조

  1. ^ Eran Tromer. "Cryptanalysis of the Gpcode.ak ransomware virus" (PDF). Retrieved 2008-09-30.
  2. ^ "Kaspersky Lab announces the launch of Stop Gpcode, an international initiative against the blackmailer virus". 2008-06-09.
  3. ^ "Blackmailer: the story of Gpcode". Kaspersky Labs. 2006-07-26.
  4. ^ "Utilities which fight Virus.Win32.Gpcode.ak". Kaspersky Lab. 2008-06-25.
  5. ^ "Restoring files attacked by Gpcode.ak". Kaspersky Labs. 2008-06-13. Archived from the original on 2009-07-13. Retrieved 2008-09-30.
  6. ^ "Another way of restoring files after a Gpcode attack". 2008-06-26. Archived from the original on 2013-02-09.
  7. ^ "New Gpcode - mostly hot air". Kaspersky Labs. 2008-08-14. Archived from the original on 2012-09-18.
  8. ^ "GpCode Ransomware 2010 Simple Analysis". Xylibox. 2011-01-30.
  9. ^ "GpCode-like Ransomware Is Back". Kaspersky Labs. 2010-11-29.
  10. ^ "Police 'find' author of notorious virus". TechWorld. 2008-09-30.

외부 링크