Kaspersky Lab informa sobre la aparición

MEXICO, D.F. a 16 de junio, 2008 – Kaspersky Lab, líder en la producción de sistemas de defensa contra software nocivo e indeseable, ataques de hacker y spam ha sido el primero en detectar una nueva versión del peligroso virus chantajista Gpcode: Virus.Win32.Gpcode.ak.  Kaspersky Lab emitió una alerta para proteger a los usuarios contra Virus.Win32.Gpcode.ak el 4 de junio de 2008.

Gpcode.ak cifra los ficheros con varias extensiones que incluyen pero no se limitan a .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h y más mediante un algoritmo de cifrado RSA con una llave de 1024 bits.  Los analistas de Kaspersky Lab pudieron detener variantes previas de Gpcode, luego que los analistas de virus de Kaspersky lograron descifrar la llave privada gracias a un extenso análisis criptográfico.  El autor de Gpcode tardó dos años en mejorar el virus: corrigió sus errores anteriores y alargó la llave de 660 a 1024 bits.

Para el momento de este anuncio, Kaspersky Lab no ha logrado descifrar los archivos cifrados por Gpcode.ak debido al largo de esta llave de 1024 bits.  Por ende, actualmente la única manera de descifrar estos archivos cifrados es mediante el uso de la llave privada que sólo el autor tiene en su poder y revela a cambio de un pago monetario.

“Con esta nueva versión de Gpcode, encontramos una muestra de ransomware que parece imposible de descifrar en esta etapa del proceso de detección.  Luego de ejecutar soluciones anti-malware, la mejor protección contra este tipo de malware es crear respaldos de los datos en la computadora con regularidad”, dijo Roel Schouwenberg, Analista de Virus Senior de Kaspersky Lab.  “Recomendamos firmemente que quiénes se vean infectados por Gpcode no paguen el ‘rescate’ debido a que esto sólo alentará a su autor a crear nuevas versiones”.

El virus añade a los ficheros cifrados la palabra ._CRYPT y deja en el sistema un documento de texto !_READ_ME_!.txt en la carpeta afectada.  Mediante este fichero el criminal informa a sus víctimas sobre el cifrado de los ficheros y les intenta vender un ‘descifrador’:

Además, luego de cifrar los ficheros, Gpcode también muestra el siguiente mensaje:

QUÉ HACER SI RECIBE ESTE MENSAJE:

Póngase en contacto con Kaspersky Lab utilizando otra computadora conectada a Internet.  NO REINICE o APAGUE la computadora infectada.

Escríbale a Kaspersky a la dirección: stopgpcode@kaspersky.com e incluya la siguiente información en su correo:
Fecha & Hora de la infección
Cualquier tarea realizada en la computadora durante los 5 minutos previos a la infección, incluyendo:
Programas ejecutados
Sitios web visitados

Kaspersky Lab intentará ayudar con la recuperación de cualquier dato cifrado.

Los analistas de Kaspersky Lab están en proceso de analizar el código del virus buscando la forma de descifrar los ficheros sin pagar por la llave privada. Hasta que se haya encontrado una solución, recomendamos que configure su solución anti-malware en el máximo nivel de seguridad posible y que sea precavido al momento de visitar sitios en la Internet o leer correos electrónicos.

Rogamos enfáticamente a los usuarios infectados que no se rindan ante el chantajista, sino que nos contacten tanto a nosotros como a las autoridades locales de ciber-crimen. Pagar el chantaje sólo perpetuará este ciclo.
 

Comments