News

Nueva y peligrosa versión de virus chantajista Gpcode

Nuestro laboratorio antivirus ha detectado una nueva versión del peligroso virus Gpcode. Este virus cifra los ficheros del usuario de muchos tipos: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H, etc.

El identikit del nuevo virus Virus.Win32.Gpcode.ak se ha añadido a las bases antivirus ayer, 4 de junio de 2008. En este momento no es posible descifrar los ficheros afectados, porque el virus usa un algoritmo de cifrado muy complejo, RSA con llave de 1024 bits.

El algoritmo RSA se basa en la división en dos llaves: la llave secreta y la llave abierta. El principio de cifrado mediante RSA dice: para cifrar datos es suficiente tener sólo la llave abierta. Pero para descifrar los datos hay que tener la llave secreta.

Gpcode se fundamenta en este principio. Cifra los ficheros del usuario con la ayuda de la llave abierta que se encuentra en el cuerpo del virus. Después de cifrados, sólo el dueño de la llave secreta puede descifrarlo. O sea, sólo el autor del programa Gpcode.

Kaspersky Lab ya tenía experiencia con Gpcode (ver el artículo El chantaje cibernético: la historia de Gpcode y entonces conseguimos averiguar la llave privada mediante un análisis criptográfico detallado de los datos que teníamos a nuestra disposición. Hasta el presente, la llave RSA más compleja que pudimos descifrar era de 660 bites y fue posible gracias a ciertos errores cometidos por el autor en la realización del algoritmo de cifrado. El autor esperó casi dos años antes de crear una nueva y perfeccionada versión del virus con cifrado RSA y esta versión ya no contiene los errores pasados.

Cuando detectamos las primeras versiones de Gpcode basadas en RSA en 2006, advertimos que en caso de que los autores de virus usaran los algoritmos RSA con cuidado, no podríamos ayudar a los usuarios cuyos ficheros hayan sido cifrados. El cifrado de ficheros es equivalente a copiarlos al ordenador del delincuente y eliminarlo del ordenador del usuario. En estos casos sólo pueden ayudar los órganos de seguridad del estado.

Después de cifrar los ficheros, el virus deja un mensaje de texto junto a los ficheros cifrados que dice:

Tus ficheros están cifrados con el algoritmo RSA-1024.
Para descifrar tus ficheros, tendrás que comprar nuestro software.
Para comprar nuestro software, escríbenos a: ********@yahoo.com»

Desgraciadamente, todavía no se ha podido determinar los medios que usa el virus para propagarse, por eso recomendamos a los usuarios aplicar todos los medios de defensa contra programas nocivos.

¡ATENCIÓN! Si usted ve este mensaje en su ordenador:

…Es probable que haya sido atacado por Gpcode.ak. En este caso, NO REINICIE NI APAGUE SU SISTEMA , y trate de ponerse en contacto con nosotros mediante otro ordenador que tenga conexión a Internet.

Escríbanos a la dirección stopgpcode@kaspersky.com informándonos de la fecha y hora exactas de la infección y las acciones que ha tomado los últimos 5 minutos antes de la infección: qué programas inició y qué sitio web visitó. Nosotros trataremos de recuperar los datos cifrados.

A pesar de la seriedad de la situación, nuestro analistas siguen analizando el código del virus y buscando la forma de descifrar los ficheros sin la llave secreta.

Nueva y peligrosa versión de virus chantajista Gpcode

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada