Gpcode.ak: il virus che rapisce i file e chiede il riscatto
Scritto Da: MaZdArX8 / Categorie: Antispyware/Antiaware, Antivirus, Internet Security, Notizie
Virus Ladro - Rapisce Il FIle E Chiede Un Riscatto
Si chiamano ransomware e rappresentano una particolare tipologia di virus in grado di crittografare i file presenti all’interno dei computer delle vittime rendendoli così illeggibili, se non dietro l’acquisto di una chiave di decriptazione. A turbare il sonno dei ricercatori Kaspersky, società specializzata in soluzioni per la sicurezza informatica, è la nuova variante del virus win32.gpcode.ak, un temibile ransomware già identificato e reso innocuo nel 2006 ma che ora si presenta più minaccioso che mai, forte della capacità di criptare i file utilizzando una chiave a 1024bit. L’algoritmo crittografico risulta quindi talmente complesso da spingere i ricercatori dell’azienda moscovita a chiedere ufficialmente aiuto nel tentativo di coalizzare le forze contro la nuova terribile minaccia.
Come spiegato dall’analista di Kaspersky “VitalyK” all’interno del blog della società, la nuova variante di Gpcode è in grado di criptare i file che presentano ben 143 diverse tipologie di estensione (quali DOC, TXT, PDF, XLS e JPG) utilizzando due chiavi: una pubblica e una privata. La prima viene utilizzata per la criptazione dei dati, mentre la seconda permette di ripristinare le informazioni al loro stato originario. La prima versione identificata nel 2006 utilizzava una chiave a 660bit che avrebbe richiesto circa 30 anni di elaborazione per essere scardinata; fortunatamente, alcune leggerezze compiute dal programmatore del ransomware hanno permesso di effettuare l’operazione in pochi minuti. La nuova versione non ripete però l’errore della precedente e violare la password privata richiederebbe, a detta dei ricercatori Kaspersky, il lavoro congiunto di 15 milioni di moderni computer per circa 365 giorni.
Attualmente sono molto scarse le informazioni circa la diffusione di tale minaccia, motivo per cui risulta essenziale attivare ed aggiornare tutte le protezioni installate all’interno del proprio computer, compresi i software anti-malware. L’eventuale infezione si riconosce dall’apparire di una finestra al cui interno è presente il testo seguente: «Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com [I tuoi file sono stati criptati con l'algoritmo RSA-1024. Per recuperare i tuoi file acquista il nostro decodificatore. Per acquistarlo contattaci al: ********@yahoo.com]». In tal caso, i ricercatori Kaspersky consigliano di non riavviare o spegnare la macchina e di contattare immediatamente l’assistenza online utilizzando un computer non infetto.
Vediamo cosa ne pensa personalmente lo Staff di CercaSoftware:
Il virus Gpcode, un vecchio virus comparso in rete circa 3 anni fa è stato rielaborato e migliorato nella sua efficacia.
In partenza il suo obiettivo era quello di criptare i documenti della vittima, rendendo così impossibile l’apertura di essi.
La sua prima versione utilizzava una chiave di criptazione a 660 bit, una cifra esorbitante e molto ma molto difficile da decriptare
Successivamente furono rilevati errori di programmazione e il metodo per decriptare fu scoperto in breve tempo.
Come dicevo precedentemente è stato ora rielaborato e utilizza ora una chiave di criptazione RSA, a ben 1024 bit, molto più complesso del suo predecessore.
Il malware appena mandato in esecuzione scansiona tutti i dischi rigidi collegati al pc e tutte le sue merorie rimovibili cercando file da criptare
Le sue possibilità raggiungono la criptazione di oltre 140 tipi di file, dai più semplici come tutti i documenti, immagini e archivi ai più complessi utilizzando il Microsoft Enhanced Cryptographic Provider
I file vengono criptati con due chiavi di cifratura, una pubblica e una privata.
La prima viene usata per i file ed è contenuta nella sorgente del virus, la seconda è invece utilizzata per decriptare i file e viene rilasciata al momento in cui la vittima decidesse di pagare il creatore del virus.
Gpcode.ak crea un nuovo file aggiungengo il suffisso _CRYPT dopo l’estensione
Il file originale viene però cancellato, tenendone solo la copia criptata dal virus
Esempio: immagine.png –> Originale cancellata
immagine.png_CRYPT –> Immagine criptata
In ogni cartella contenente file criptati lascia un file !_READ_ME_!.txt come notifica di avvenuta criptazione e suggerisce di contattare il creatore del virus per il pagamento, o meglio per il riscatto e così ottenere la chiave per decriptare i documenti
Fortunatamente il virus tralascia file con caratteristiche uguali alle seguenti:
dimensione inferiore ai 10 byte
dimensione maggiore di 734003200 byte
File ”Nascosti” e “Di sistema”
Infine il virus manda in esecuzione un file vbs che ha lo stesso nome dell’eseguibile infetto, e ha come funzione quella di cancellare lo stesso file eseguibile e di far apparire un pop up che avvisa l’utente della criptazione dei file, invitandolo ancora una volta a contattare il creatore di questa “rapina con ostaggio” per avere la chiave di decriptazione
Ringraziamo il cielo che il virus non agisca nel registro di sistema lasciandolo così intatto
Articoli Correlati
Tags: 1024, Antivirus, bit, criptare, file, gpcode.ak, kaspersky, riscatto, trojan, virus
![[Valid RSS]](/immagini/valid-rss.png "Validate my RSS feed")
