Nueva y peligrosa versión de virus chantajista Gpcode

Nuestro laboratorio antivirus ha detectado una nueva versión del peligroso virus Gpcode. Este virus cifra los ficheros del usuario de muchos tipos: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H, etc.

El identikit del nuevo virus Virus.Win32.Gpcode.ak se ha añadido a las bases antivirus ayer, 4 de junio de 2008. En este momento no es posible descifrar los ficheros afectados, porque el virus usa un algoritmo de cifrado muy complejo, RSA con llave de 1024 bits.

El algoritmo RSA se basa en la división en dos llaves: la llave secreta y la llave abierta. El principio de cifrado mediante RSA dice: para cifrar datos es suficiente tener sólo la llave abierta. Pero para descifrar los datos hay que tener la llave secreta.

Gpcode se fundamenta en este principio. Cifra los ficheros del usuario con la ayuda de la llave abierta que se encuentra en el cuerpo del virus. Después de cifrados, sólo el dueño de la llave secreta puede descifrarlo. O sea, sólo el autor del programa Gpcode.

Kaspersky Lab ya tenía experiencia con Gpcode (ver el artículo El chantaje cibernético: la historia de Gpcode y entonces conseguimos averiguar la llave privada mediante un análisis criptográfico detallado de los datos que teníamos a nuestra disposición. Hasta el presente, la llave RSA más compleja que pudimos descifrar era de 660 bites y fue posible gracias a ciertos errores cometidos por el autor en la realización del algoritmo de cifrado. El autor esperó casi dos años antes de crear una nueva y perfeccionada versión del virus con cifrado RSA y esta versión ya no contiene los errores pasados.

Cuando detectamos las primeras versiones de Gpcode basadas en RSA en 2006, advertimos que en caso de que los autores de virus usaran los algoritmos RSA con cuidado, no podríamos ayudar a los usuarios cuyos ficheros hayan sido cifrados. El cifrado de ficheros es equivalente a copiarlos al ordenador del delincuente y eliminarlo del ordenador del usuario. En estos casos sólo pueden ayudar los órganos de seguridad del estado.

Después de cifrar los ficheros, el virus deja un mensaje de texto junto a los ficheros cifrados que dice:

Desgraciadamente, todavía no se ha podido determinar los medios que usa el virus para propagarse, por eso recomendamos a los usuarios aplicar todos los medios de defensa contra programas nocivos.

¡ATENCIÓN! Si usted ve este mensaje en su ordenador:

…Es probable que haya sido atacado por Gpcode.ak. En este caso, NO REINICIE NI APAGUE SU SISTEMA , y trate de ponerse en contacto con nosotros mediante otro ordenador que tenga conexión a Internet.

Escríbanos a la dirección stopgpcode@kaspersky.com informándonos de la fecha y hora exactas de la infección y las acciones que ha tomado los últimos 5 minutos antes de la infección: qué programas inició y qué sitio web visitó. Nosotros trataremos de recuperar los datos cifrados.

A pesar de la seriedad de la situación, nuestro analistas siguen analizando el código del virus y buscando la forma de descifrar los ficheros sin la llave secreta.