„Vaše dáta boli zakódované 1024-bitovým RSA algoritmom. Ak chcete vrátiť vaše súbory späť, potrebujete si kúpiť náš odkódovač. Pre zakúpenie programu nás kontaktujte e-mailom.“ Toto hlásenie vypíše systém všetkým, ktorých napadol trójsky kôň Gpcode.
Ide o prvý úspešný škodlivý kód, ktorý sa snaží zarobiť peniaze priamo od používateľov: po napadnutí im nezničí systém, ani nepoškodí programy, ktoré používajú. Iba všetky snímky, dokumenty a ďalšie informácie uložené na harddisku zašifruje tak, aby sa nedali používať.
S Gpcode si nikto nevie rady
Nový druh „vydieracích“ vírusov dostal aj svoje pomenovanie: „ransomware“. Prví zástupcovia sa už objavili pred niekoľkými rokmi, šifry, ktoré používali, však boli jednoduchšie a viaceré z nich obsahovali chyby.
Teraz nastal prvýkrát v histórii problém, s ktorým si antivírusové spoločnosti nevedia poradiť: používateľov vedia ochrániť pri pokuse o napadnutie, ak už však vírus dáta zašifroval, nevedia ich vrátiť späť.
„Prelomiť taký zložitý kód, aký používa Gpcode, môže pätnástim miliónom počítačov trvať približne rok,“ napísala antivírusová firma Kaspersky na svojom firemnom blogu. „Vyzývame všetkých kryptografov, vládne i vedecké inštitúcie, antivírusové spoločnosti a nezávislých výskumníkov – pomôžte nám nájsť spôsob, ako zastaviť Gpcode.“ Firma chce spojiť sily a pokúsiť sa prelomiť šifrovanie, ktoré vírus využíva. Juraj Malcho, vedúci vírusového laboratória spoločnosti Eset, je k takej výzve skôr skeptický. „Pre tvorcov tohto škodlivého kódu môže byť uvoľnenie novej verzie s novým kľúčom záležitosťou niekoľkých minút. Budeme každý mesiac spájať dokopy kvantá počítačov, ktoré budú neustále lámať nejaké šifry?“ povedal pre SME. „Náš postoj je sústrediť sa skôr na proaktívnu ochranu, aby k takejto situácii vôbec nedošlo,“ tvrdí.
Na Slovensku žiadny infikovaný počítač
Aj keď je vírus zaujímavo vytvorený, k jeho rozsiahlejšiemu rozšíreniu zatiaľ nedošlo. Podľa Malcha v Českej republike zaznamenali dva prípady zašifrovania diskov vírusom, na Slovensku žiaden. „Celosvetové rozšírenie tohto vírusu u našich používateľov je takmer nulové,“ povedal. Vírus sa šíri najmä formou odkazov vo verejných fórach.
Zatiaľ jedinou pomocou proti vírusu, ak už bol počítač napadnutý, je použiť niektorú z utilít, ktoré dokážu zachrániť obsah súborov nedávno vymazaných z harddisku. Antivírusové spoločnosti preto po napadnutí odporúčajú nereštartovať počítač a pokúsiť sa vrátiť súbory späť. Vrátenie všetkých súborov však už nemusí byť úspešné a nemusí fungovať, ak bol počítač napadnutý dávnejšie.
„Pri tomto druhu škodlivého kódu je očakávateľné, že skôr zasiahne domácich používateľov, ktorí nezálohujú, ako firemné počítače,“ myslí si Malcho. Stretol sa však už aj s prípadmi, keď podobný vírus napadol firemnú sieť a podarilo sa mu zašifrovať aj všetky súbory na firemnom serveri.
Najlepším riešením je prevencia – používať antivírus a pravidelne zálohovať súbory na disku.
Čo ak vám vírus zakódoval alebo vymazal súbory?Systém nereštartujtePomocou antivírusového programu dostaňte vírus z počítačaNa inom počítači si pripravte program, ktorý dokáže obnoviť nedávno vymazané súbory. Jeden z bezplatných programov sa nachádza na adrese url.sme.sk/suboryspat.Program nahrajte na USB kľúč, vložte do počítača a spustite obnovenie dát – dáta však obnovujte na iné médium než pôvodný disk, napríklad externý disk alebo väčší USB kľúč.Podrobnejší návod určený používateľom napadnutým Gpcodom nájdete napríklad na stránke viruslist.com/en/viruses/encyclopedia?virusid=313444
