Kaspersky Lab, società specializzata in soluzioni per la sicurezza informatica, ha rilevato nei giorni scorsi una nuova versione di Gpcode, il virus che “sequestra” i dati dell’utente mediante crittografia e ne richiede un riscatto per la chiave di codifica. Virus.Win32.Gpcode.ai, questo il nome della nuova variante di Gpcode, utilizza un complesso algoritmo per crittografare i file dell’utente, rendendone impossibile l’utilizzo.
Una volta fatto ciò, il virus consegna all’utente un file chiamato "read_me.txt", un file di testo con queste indicazioni: Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team
In realtà, questa versione di Gpcode utilizza una codifica RC4, non la RSA-4096 come vuole far credere il messaggio. Inoltre non è vero che i file dell’utente, se non riscattati, vengono inviati all’hacker che ha eseguito l’attacco.
Fino ad oggi Kaspersky Lab è sempre stata in grado di scoprire le chiavi di codifica dei file infettati da Gpcode. Virus.Win32.Gpcode.ai è già presente nei database del Kaspersky Anti-Virus, si raccomanda solo di mantenere aggiornato il database. Inoltre il modulo di Difesa Proattiva del Kaspersky Anti-Virus 6.0 fornisce una protezione adeguata anche senza l’aggiornamento del database, in quanto riconosce Gpcode come un Trojan generico e ne blocca ogni attività.
Gli analisti di Kaspersky Lab hanno inoltre creato una routine di decodifica che sarà prossimamente inclusa nell’aggiornamento del database. Nel caso in cui si sospettasse di aver subito un “sequestro” dei file da parte di Gpcode, Kaspersky Lab consiglia fermamente di non cedere al riscatto e di non pagare alcuna somma, per evitare di incoraggiare ulteriormente simili pratiche. Diverse soluzioni antivirus sono in grado di gestire la situazione, riportando i file alla loro forma originale.
