Estoy seguro de que los lectores asiduos de esta bitácora recuerdan la historia de GpCode, que usaba algoritmos RSA para cifrar los datos de los usuarios. En el artículo publicado en la sección de Análisis de este sitio, se examinaba en detalle este programa nocivo.
Algunos de los lectores nos preguntaban porqué no habíamos escrito en este blog sobre programas similares esté último tiempo, después de todo, el artículo sobre el chantaje cibernético concluyó con la idea de que podrían haber más programas similares en el futuro. Pero hubo un periodo de calma que duró más de un año…
Así que los lectores se imaginarán nuestros sentimientos este fin de semana, cuando algunos de nuestros usuarios de fuera de Rusia nos escribieron que sus documentos, fotos, archivos, ficheros, etc, se habían convertido en un montón de basura, y que un fichero llamado read_me.txt había aparecido en sus sistemas. Lamentablemente, el contenido de este fichero era demasiado familiar:
Hola, tus ficheros están cifrados con el algoritmo RSA-4096
(http://es.wikipedia.org/wiki/RSA).
Sin nuestro software, necesitarás varios años para descifrarlos. Toda tu información privada de los últimos 3 meses ha sido recolectada y enviada a nuestra dirección.
Para descifrar tus ficheros, tendrás que comprar nuestro software. El precio es $300.
Para comprar nuestro software, escríbenos a: xxxxxxx@xxxxx.com y envianos tu código personal –xxxxxxxxx.. Después de que la compra haya sida realizada, te enviaremos una herramienta de descifrado y tu información privada será eliminada de nuestro sistema.
Si no te pones en contacto con nosotros hasta el 15/07/2007, tu información privada será publicada y perderás todos tus datos.
Glamorous team
¿Será esto una señal de que el artista del chantaje ha vuelto? Está claro que el texto original no fue escrito por un angloparlante nativo. Y la dirección de correo electrónico ya la hemos visto antes en las variantes de LdPinch y Banker, programas que son de origen ruso.
Por supuesto, hemos analizado los ficheros y a pesar de lo que dice el texto, no hay indicios de RSA-4096. Es curioso que esta pequeña “obra de arte”, que nuestro antivirus detecta como Virus.Win32.Gpcode.ai, tenga un periodo tan corto de vida, del 10 al 15 de julio de 2007. ¿Porqué será? Solo podemos adivinarlo.
Kaspersky Anti-Virus 6.0 (y 7.0, para aquellos que viven en áreas dónde esta versión está disponible) detecta este troyano de forma proactiva: una vez como Trojan-Generic (pantalla 1) y otra como Invader (pantalla 2). Por supuesto, ya estamos trabajando en un método de descifrado de los ficheros de los usuarios para añadirlo a nuestras bases antivirus. Pero mientras tanto, queremos recordaros que si habéis caído víctima de Gpcode o de otro tipo de ransomware, no debéis pagarle al chantajista bajo ninguna circunstancia. Mas bien, dirigíos a vuestro proveedor de antivirus.
El regreso del secuestrador de ficheros