venerdì 6 giugno 2008
Spoiler: |
Quote:
Kaspersky Lab, leader nell’elaborazione di sistemi di protezione da malware, attacchi hacker e spam, annunucia di aver identificato una nuova versione di Gpcode, il pericoloso virus "blackmail". La nuova versione del virus è stata battezzata Virus.Win32.Gpcode.ak. L’indirizzo stopgpcode@kaspersky.com è a disposizione degli utenti di Kaspersky Lab in caso di infezione.
|
|
Il virus cripta i file di varia tipologia (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h e altri) grazie a un algoritmo di codificazione RSA funzionante con una chiave di 1024 byte.
La firma di Virus.Win32.Gpcode.ak è stata aggiunta al database antivirus di Kaspersky Lab il 4 giugno 2008.
Non è la prima volta che Kaspersky Lab rileva altre versioni del virus Gpcode (cf. il recente rapporto di uno dei nostri ricercatori «Emergenza dei primi codici maligni blachmail» (in inglese)
http://www.viruslist.com/analysis?pubid=189121344) e in ogni caso, gli esperti dell'azienda erano stati in grado di ottenere la chiave segreta grazie a un'analisi crittografica dettagliata dei dati che avevano a disposizione.
Fino ad oggi, la lunghezza massima della chiave RSA che gli specialisti di Kaspersky Lab siano riuscita a decifrare, era di 660 bit. Per farsi un'idea, si tenga presente che per identificare una chiave di questa lunghezza con un computer dotato di un processore di 2,2Ghz ci vorrebbero circa 30 anni.
Dopo questo incidente, l'autore di Gpcode ha pazientato quasi 2 anni prima di creare una nuova versione più performante del suo virus, fatta l'esperienza dei vecchi errori e impiegando una chiave ancora più lunga.
Attualmente, non abbiamo ancora potuto decriptare i file-vittima, dal momento che il virus, in questa sua nuova variante, utilizza una chiave di 1024 bit . Solamente una chiave segreta, che per il momento si trova verosimilmente in possesso dell'autore del virus, permette di decifrare gli oggetti criptati da Virus.Win32.Gpcode.ak.
Gli analisti di Kaspersky Lab continuano a lavorare sul virus scoperto e a cercare un mezzo per decifrare i file.
Il virus aggiunge la firma _CRYPT all'estensione dei file criptati appena creati e colloca un file di testo chiamato !_READ_ME_!.txt nella stessa cartella. Questo file informa l'utente del fatto che il file è stato criptato e gli offre di acquistare un decodificatore:
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com
Traduzione - I vostri file sono criptati da un algoritmo RSA-1024. Per ripristinare i vostri file dovede acquistare il nostro decodificatore. Per comprarlo, contattateci all'indirizzo
********@yahoo.com.]
Fonte:
vistatrucchi.blogspot.com via Kaspersky Lab