Este troyano está presente muy comunmente en las redes de intercambio de programas P2P y no posee las caracterísitcas de reproducción de los virus. No posee un motor que le permita enviarse como archivo adjunto en mensajes de correo pero puede llegar como spam y desde sitios maliciosos de la Web.

.3ds

.3dx

.4ge

.4gl

.ace

.akf

.ask

.bb

.bcp

.bdb

.bh

.bib

.bsa

.cob

.col

.cpp

.cpt

.dbe

.dbf

.dbx

.dic

.dif

.dm

.dmd

.doc

.dok

.eps

.exp

.frt

.frx

.hog

.htm

.html

.htx

.ice

.icf

.ihtml

.ish

.jar

.jsp

.txt

.vp

.xcr

.xls

.xml

.zip


Las formas de recuperar el estado original de estos ficheros es mediante la opción restaurar sistema o funciones de backup. Todos los recursos compartidos de redes y discos duros del equipo infectado son registrados por el Gpcode.NAA para encontrar archivos que sea capaz de codificar.


Para evitar ejecutarse más de una vez en memoria, Gpcode.NAA genera un mutex u objeto indicador:

ENCODER_V1.1


Cada carpeta donde se localice alguno de los archivos encriptados contendrá además, un Readme.txt con este mensaje:

Some files are coded by RSA method.

To buy decoder mail: [???]

with subject:


Modifica entradas en el registro para reiniciar sus operaciones junto con Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
services = "[camino completo y nombre ejecutable]"


La siguiente entrada es creada para controlar sus actividades:

HKEY_CURRENT_USER\Software\Microsoft\Sysinf

cur_not_done = [número de ficheros codificados]


Gpcode.NAA genera un archivo en la carpeta de archivos temporales de Windows para albergar la lista de archivos y carpetas con permisos de escritura capturadas en el PC víctima:

AUTOSAVE.IN


Más Información: