Kaspersky Lab, líder en la producción de sistemas de defensa contra software nocivo e indeseable, ataques de hacker y spam, informa sobre la aparición de una nueva versión del peligroso virus chantajista Gpcode. La nueva versión ha recibido el nombre de Virus.Win32.Gpcode.ak.
El virus cifra los ficheros del usuario de diferentes tipos (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h etc.) mediante un complejo algoritmo de cifrado RSA con llave de 1024 bits.
El identikit del nuevo virus Virus.Win32.Gpcode.ak se añadió ayer, 4 de junio de 2008, a las bases de antivirus.
Kaspersky Lab ya se ha enfrentado a otras versiones del virus Gpcode (ver el artículo El chantaje cibernético: la historia de Gpcode y los expertos de nuestra compañía consiguieron averiguar la llave privada mediante un análisis criptográfico detallado de los datos que teníamos a nuestra disposición.
Nuestros expertos han logrado descifrar llaves de hasta 660 bites con un análisis preciso del algoritmo RSA. Se estima que si la encriptación del algoritmo se lleva a cabo correctamente, 1 PC con un procesador a 2,2Ghz tardaría 30 años en averiguar una llave de 660 bites
Después del último incidente, el autor de Gpcode esperó casi 2 años antes de crear una nueva copia perfeccionada de su virus, corrigiendo sus errores y usando una llave aún más larga de 1024 bites en lugar de 660.
Hasta este momento no ha sido posible descifrar los ficheros afectados porque el nuevo virus usa una larga llave de 1024 bits. La única forma de descifrar los ficheros cifrados por Virus.Win32.Gpcode.ak es tener la llave secreta, que sólo está en poder del autor del virus.
Los analistas de Kaspersky Lab continúan analizando el virus en busca de la forma de descifrar los ficheros.
El virus añade a los ficheros cifrados la palabra ._CRYPT y deja en el sistema un documento de texto !_READ_ME_!.txt en el que se informa sobre el cifrado de los ficheros y se propone comprar la llave al delincuente. El texto completo del mensaje es:
Tus ficheros están cifrados con el algoritmo RSA-1024.
Para descifrar tus ficheros, tendrás que comprar nuestro software.
Para comprar nuestro software, escríbenos a: ********@yahoo.com
Kaspersky Lab recomienda a los usuarios que han visto este mensaje en su equipo ponerse en contacto con los expertos de la compañía mediante otro ordenador conectado a Internet, escribiendo a la dirección stopgpcode@kaspersky.com y enviar la fecha y hora de la infección y las últimas acciones ejecutadas en los últimos 5 minutos antes de la infección. En ningún caso hay que reiniciar o apagar el ordenador infectado.
Los empleados de Kaspersky Lab están haciendo todos los esfuerzos posibles para ayudar a los usuarios a recuperar sus datos cifrados.
Además, los usuarios no deben en ningún caso seguir la corriente a los delincuentes cibernéticos ni pagarles el rescate exigido, ya que esto los motivaría a continuar sus actividades delictivas y no garantiza que la víctima reciba el descifrador.
(China)
(Japan)
(Korea)
