Kaspersky Lab ha scoperto un nuovo pericoloso virus "blackmail"

06 giu
Notizie Virus

Kaspersky Lab, leader nell’elaborazione di sistemi di protezione da malware, attacchi hacker e spam, annunucia di aver identificato una nuova versione di Gpcode, il pericoloso virus "blackmail". La nuova versione del virus è stata battezzata Virus.Win32.Gpcode.ak. L’indirizzo stopgpcode@kaspersky.com è a disposizione degli utenti di Kaspersky Lab in caso di infezione.

Il virus cripta i file di varia tipologia (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h e altri) grazie a un algoritmo di codificazione RSA funzionante con una chiave di 1024 byte.

La firma di Virus.Win32.Gpcode.ak è stata aggiunta al database antivirus di Kaspersky Lab il 4 giugno 2008.

Non è la prima volta che Kaspersky Lab rileva altre versioni del virus Gpcode (cf. il recente rapporto di uno dei nostri ricercatori «Emergenza dei primi codici maligni blachmail» (in inglese) http://www.viruslist.com/analysis?pubid=189121344) e in ogni caso, gli esperti dell'azienda erano stati in grado di ottenere la chiave segreta grazie a un'analisi crittografica dettagliata dei dati che avevano a disposizione.

Fino ad oggi, la lunghezza massima della chiave RSA che gli specialisti di Kaspersky Lab siano riuscita a decifrare, era di 660 bit. Per farsi un'idea, si tenga presente che per identificare una chiave di questa lunghezza con un computer dotato di un processore di 2,2Ghz ci vorrebbero circa 30 anni.

Dopo questo incidente, l'autore di Gpcode ha pazientato quasi 2 anni prima di creare una nuova versione più performante del suo virus, fatta l'esperienza dei vecchi errori e impiegando una chiave ancora più lunga.

Attualmente, non abbiamo ancora potuto decriptare i file-vittima, dal momento che il virus, in questa sua nuova variante, utilizza una chiave di 1024 bit . Solamente una chiave segreta, che per il momento si trova verosimilmente in possesso dell'autore del virus, permette di decifrare gli oggetti criptati da Virus.Win32.Gpcode.ak.

Gli analisti di Kaspersky Lab continuano a lavorare sul virus scoperto e a cercare un mezzo per decifrare i file.

Il virus aggiunge la firma _CRYPT all'estensione dei file criptati appena creati e colloca un file di testo chiamato !_READ_ME_!.txt nella stessa cartella. Questo file informa l'utente del fatto che il file è stato criptato e gli offre di acuistare un decodificatore:


Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com


[Traduzione - I vostri file sono criptati da un algoritmo RSA-1024. Per ripristinare i vostri file dovede acquistare il nostro decodificatore. Per comprarlo, contattateci all'indirizzo ********@yahoo.com.]

Kaspersky Lab consiglia vivamente agli utenti che hanno trovato un messaggio di questo tipo sul proprio computer, di contattare gli esperti della società (connettendosi però da un altro PC, non da quello infetto) all'indirizzo stopgpcode@kaspersky.com e di indicare l'ora e la data esatte dell'infezione, le ultime azioni svolte sul computer almeno durante i 5 minuti precedenti l'infezione. Raccomandiamo di non riavviare né spegnere il PC infetto.

I tecnici di Kaspersky Lab si adopereranno in tutti i modi per far sì che le vittime del virus possano di nuovo accedere ai propri dati.

Inoltre, gli utenti non devono in alcun caso dare credito alla proposta fatta loro dal criminale informatico: l'eventuale somma di denaro versata per avere indietro i propri file contribuirà soltanto a riempire le tasche di questi individui, senza che la vittima riceva alcun decoder.