Noticias

Nueva amenaza de cifrado de datos

Hoy hemos recibido una noticia alarmante: ha aparecido una nueva versión del troyano cifrador de ficheros denominado Gpcode. Desde Kaspersky Lab se ha iniciado de inmediato la búsqueda de ejemplares de este programa en la red, solicitándoselos a los usuarios infectados. Hasta el momento, disponemos de una descripción textual del troyano, pero no tenemos en nuestras manos el fichero del troyano ya que, al parecer, se autodestruye después de ejecutarse.

Sin embargo, hemos buscado en Internet y hemos localizado un ejemplar del programa nocivo que corresponde con la descripción. Dicho troyano se propaga mediante una red zombi.

En el fichero de texto crypted.txt, que el troyano deja después del ataque, el creador del virus pide 10 dólares por descifrar el fichero y también deja sus direcciones: email, icq, URL. En la dirección indicada en el fichero crypted.txt se encuentra una página web que contiene el siguiente texto en ruso:

“Buenos días.
Tenemos 3 noticias para usted, una no muy buena y dos muy buenas. Empezaremos por la no muy buena.
Todos sus ficheros han sido cifrados usando el moderno algoritmo AES-256.
En el programa se usa el método de llaves públicas y privadas.
El número de llaves de cifrado es de 99.999, en cada equipo infectado se usa una llave que es diferente a la de todos los demás equipos.
Durante los siguientes 1000 años será imposible extrapolar por medios empíricos el algoritmo AES-256.
Y las compañías antivirus no pueden ayudar en nada.
El algoritmo AES-256 se utiliza por los servicios secretos norteamericanos para cifrar sus documentos.
Y la primera buena noticia es esta:
Los ficheros se pueden descifrar.
La segunda buena noticia es:
Para descifrarlos, sólo es necesario pagar 10 dólares”.

Después del ataque, el troyano cambia el fondo del Escritorio por el siguiente:

<

Recomendamos a todas las víctimas de este programa nocivo que no cedan al chantaje y que no compren las llaves al autor del programa nocivo. También queremos destacar que toda la información, en particular el algoritmo de cifrado, la cantidad de llaves únicas y el largo de la llave indicados en el fichero de texto no están confirmadas hasta el momento.

Hasta que concluyamos el análisis de cifrado del programa troyano, utilice el método de recuperación de ficheros que hemos descrito para la lucha contra Trojan-Ransom.Win32.Gpcode.ak aquí. Ya hemos recibido mensajes de usuarios que confirman la recuperación parcial del fichero con este método.

Nuestra dirección stopgpcode@kaspersky.com, creada para luchar contra la versión anterior de este programa nocivo sigue en funcionamiento. Si usted o sus amigos han sido víctimas de este troyano, escríbanos a esta dirección y le facilitaremos toda la información necesaria para poder recuperar sus datos.

Y por supuesto, vuelva a visitar esta página para ver si hay noticias más frescas.

Nueva amenaza de cifrado de datos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada