Últimamente muchas personas de todo el mundo nos han estado pidiendo ayuda para deshacerse de infecciones muy similares a las de GpCode, el troyano que combatimos en 2008.
Comenzamos a detectar GpCode en 2004, y la amenaza resurgía casi cada año hasta 2008. Desde entonces, el autor no hizo nada llamativo. Otros escritores de virus crearon imitaciones de GpCode, pero no eran amenazas poderosas porque no utilizaban algoritmos de criptografía bien elaborados.
Como explicamos antes, este tipo de malware es muy peligroso porque hay muy pocas probabilidades de recuperar tus datos después de que el programa los ha codificado. Casi equivale a eliminar los datos de tu disco duro de forma permanente. Aun así, en 2006 y 2008 hallamos algunas herramientas que ayudaban a recuperar los datos y hasta desarrollamos nuestra propia herramienta de decodificación.
Ahora GpCode ha vuelto con más fuerza que nunca. A diferencia de las variantes anteriores, no elimina los archivos después de codificarlos. En vez de eso escribe sobre ellos, lo que hace que sea imposible utilizar programas de recuperación de datos como PhotoRec, que es el producto que sugerimos a las víctimas del último ataque.
Análisis preliminares revelaron que se emplean algoritmos RSA-1024 y AES-256 para la codificación. El programa codifica sólo parte del archivo, comenzando desde el primer byte.
Hoy comenzamos a detectar la amenaza como Trojan-Ransom.Win32.GpCode.ax. Los expertos de Kaspersky Lab están analizando el troyano a fondo y te mantendremos informados sobre cualquier descubrimiento que pueda ayudar a recuperar tus datos.
Mientras tanto, recomendamos que no cambies nada en tu sistema si crees que estás infectado, porque esto podría evitar que se recuperen los datos si encontramos una solución. Se puede apagar y reiniciar el ordenador. El escritor del virus dice que eliminará los archivos después de cierto número de días, pero no hemos visto ninguna muestra de que el troyano esté trabajando con algún mecanismo de eliminación de datos basado en tiempo. Aun así, lo mejor es evitar los cambios que puedan hacer que el sistema de archivos se altere cuando, por ejemplo, se reinicie el ordenador.
Debemos alertar a la gente sobre el problema para que puedan reconocer GpCode tan pronto como vean las advertencias en sus pantallas. ¡Al reiniciar o apagar tu ordenador puede que salves muchos datos valiosos! Por favor recuerda esto y pasa la voz: si de pronto aparece en tu pantalla una ventana de notepad con un texto que dice:
¡Apaga el ordenador sin pensarlo dos veces o desconéctalo si es más rápido!
Otro síntoma de infección es que tu fondo de pantalla se cambie automáticamente por algo como esto:
Los mantendremos al tanto de todas las novedades mientras continuamos con nuestra investigación.
Reaparece un “secuestrador” similar a GpCode