Aleks Gostew z Kaspersky Lab przypomina, że pierwsza wersja GpCode pojawiła się w Internecie latem ubiegłego roku - trojan był wtedy dość aktywny, jednak po kilku tygodniach zniknął bez śladu. Pojawił się dopiero teraz, w nowej wersji.

GpCode nie potrafi się sam rozprzestrzeniać - użytkownik musi go pobrać i uruchomić. Gdy to nastąpi, trojan szyfruje pliki użytkownika komputera i obok zaszyfrowanego pliku umieszcza dokument tekstowy (read_me.txt) o następującej treści:

Hello, your files are encrypted with RSA-4096 algorithm. You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is 300 USD

czyli

Witaj, twoje pliki są zaszyfrowane za pomocą algorytmu RSA-4096. Będziesz potrzebował co najmniej kilku lat by odszyfrować je bez naszego oprogramowania. Wszystkie twoje osobiste dane z ostatnich trzech miesięcy zostały zebrane i wysłane do nas. Aby odszyfrować twoje pliki musisz kupić nasze oprogramowanie. Cena to 300 USD

Przedstawiciele Kaspersky Lab sądzą, że autorami konia trojańskiego są Rosjanie - świadczy o tym m.in. adres e-mail służący do kontaktowania się z autorem trojana (ten sam adres wykorzystują autorzy szkodników o nazwie LDPinch oraz Banker, których rosyjskie pochodzenie zostało potwierdzone przez firmę). Alex Gostew zastrzega, że twierdzenie autora GpCode, jakoby do szyfrowania plików wykorzystany został algorytm RSA-4096, jest nieprawdziwe - w rzeczywistości trojan wykorzystuje dużo słabsze szyfrowanie.

Rosyjska firma pracuje już nad stworzeniem oprogramowania, które pomoże ofiarom trojana odzyskać pliki - Kaspersky Lab udostępni je, gdy tylko prace zostaną zakończone. Alex Gostew zaleca też użytkownikom by w razie infekcji w żadnym razie nie płacili szantażyście - to może utwierdzić go w przeświadczeniu o skuteczności tej metody zarabiania na wirusach.