News

Reaparece un “secuestrador” similar a GpCode

Últimamente muchas personas de todo el mundo nos han estado pidiendo ayuda para deshacerse de infecciones muy similares a las de GpCode, el troyano que combatimos en 2008.

Comenzamos a detectar GpCode en 2004, y la amenaza resurgía casi cada año hasta 2008. Desde entonces, el autor no hizo nada llamativo. Otros escritores de virus crearon imitaciones de GpCode, pero no eran amenazas poderosas porque no utilizaban algoritmos de criptografía bien elaborados.

Como explicamos antes, este tipo de malware es muy peligroso porque hay muy pocas probabilidades de recuperar tus datos después de que el programa los ha codificado. Casi equivale a eliminar los datos de tu disco duro de forma permanente. Aun así, en 2006 y 2008 hallamos algunas herramientas que ayudaban a recuperar los datos y hasta desarrollamos nuestra propia herramienta de decodificación.

Ahora GpCode ha vuelto con más fuerza que nunca. A diferencia de las variantes anteriores, no elimina los archivos después de codificarlos. En vez de eso escribe sobre ellos, lo que hace que sea imposible utilizar programas de recuperación de datos como PhotoRec, que es el producto que sugerimos a las víctimas del último ataque.

Análisis preliminares revelaron que se emplean algoritmos RSA-1024 y AES-256 para la codificación. El programa codifica sólo parte del archivo, comenzando desde el primer byte.

Hoy comenzamos a detectar la amenaza como Trojan-Ransom.Win32.GpCode.ax. Los expertos de Kaspersky Lab están analizando el troyano a fondo y te mantendremos informados sobre cualquier descubrimiento que pueda ayudar a recuperar tus datos.

Mientras tanto, recomendamos que no cambies nada en tu sistema si crees que estás infectado, porque esto podría evitar que se recuperen los datos si encontramos una solución. Se puede apagar y reiniciar el ordenador. El escritor del virus dice que eliminará los archivos después de cierto número de días, pero no hemos visto ninguna muestra de que el troyano esté trabajando con algún mecanismo de eliminación de datos basado en tiempo. Aun así, lo mejor es evitar los cambios que puedan hacer que el sistema de archivos se altere cuando, por ejemplo, se reinicie el ordenador.

Debemos alertar a la gente sobre el problema para que puedan reconocer GpCode tan pronto como vean las advertencias en sus pantallas. ¡Al reiniciar o apagar tu ordenador puede que salves muchos datos valiosos! Por favor recuerda esto y pasa la voz: si de pronto aparece en tu pantalla una ventana de notepad con un texto que dice:

¡Apaga el ordenador sin pensarlo dos veces o desconéctalo si es más rápido!

Otro síntoma de infección es que tu fondo de pantalla se cambie automáticamente por algo como esto:

Gpcode desktop message 1

Los mantendremos al tanto de todas las novedades mientras continuamos con nuestra investigación.

Reaparece un “secuestrador” similar a GpCode

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada