Powrót groźnego wirusa

Jakie niebezpieczeństwo czeka na internautów? Gpcode.ak szyfruje pliki o różnych rozszerzeniach, między innymi: .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h. Do szyfrowania wykorzystywany jest algorytm RSA z kluczem o długości 1024 bitów. Na czym opiera się działalność opisywanego szkodnika?

Po zaszyfrowaniu plików na atakowanym komputerze Gpcode dodaje do nich rozszerzenie ._CRYPT i umieszcza plik !_READ_ME_!.txt w każdym folderze zawierającym zaszyfrowane obiekty. W pliku tekstowym autor wirusa informuje o tym, że plik został zaszyfrowany i oferuje sprzedaż programu deszyfrującego:

Kaspersky Lab przetłumaczył tę wiadomość: Twój plik został zaszyfrowany przy użyciu 1024-bitowego algorytmu RSA. W celu odzyskania swoich plików musisz kupić nasz program deszyfrujący. W celu dokonania zakupu skontaktuj się z nami pod adresem: *******@yahoo.com

Eksperci z Kasperskiego zalecają, aby po zaistnieniu takiej sytuacji pod żadnym pozorem nie restartować, ani wyłączać potencjalnie zainfekowanego komputera. Jak wystrzegać się niebezpieczeństwa? Oprócz zachowania ostrożności należy aktualizować bazy danych programów antywirusowych.

Co ciekawe, eksperci do spraw bezpieczeństwa walczyli już z wcześniejszymi wariantami wirusa Gpcode. Ludziom z Kaspersky Lab udało się nawet złamać 660-bitowy klucz wykorzystywany przez autora szkodnika do szyfrowania danych. Szacowano wówczas, że gdyby twórca Gpcode'a poprawnie zaimplementował algorytm RSA złamanie 660-bitowego klucza zajęłoby około 30 lat przy użyciu jednego komputera z procesorem 2,2 GHz.

Obecnie jednak Virus.Win32.Gpcode.ak pozostaje niezłamany, dlatego jedynym sposobem na odzyskanie zaszyfrowanych danych jest użycie klucza, którym dysponuje autor wirusa - podaje Kaspersky Lab.