Descubierto recientemente por Kaspersky Lab, el programa nocivo Virus.Win32.Gpcode.ai usa un complejo algoritmo criptográfico para cifrar los documentos y archivos del usuario, y como resultado estos dejan de abrirse.
Además, en el sistema aparece un fichero, read_me.txt, donde se le comunica al usuario que sus ficheros han sido cifrados usando el algoritmo RSA-4096 y que se necesitan varios años para descifrarlos. Los delincuentes ofrecen un programa para descifrar los datos por 300 dólares.
Este es el mensaje firmado por el "grupo glamoroso", en inglés:
Hola, tus ficheros están cifrados con el algoritmo RSA-4096 (http://es.wikipedia.org/wiki/RSA).
Sin nuestro software, necesitarás varios años para descifrarlos. Requisitos de software Toda tu información privada de los últimos 3 meses ha sido recolectada y enviada a nuestra dirección. Para descifrar tus ficheros, tendrás que comprar nuestro software. El precio es $300.
Para comprar nuestro software, escríbenos a: [email protected] y envíanos tu código personal -XXXXX. Después de que la compra haya sida realizada, te enviaremos una herramienta de descifrado y tu información privada será eliminada de nuestro sistema.
Si no te pones en contacto con nosotros hasta el 15/07/2007, tu información privada será publicada y perderás todos tus datos.
Glamorous team
Pero en realidad esta versión del programa chantajista usa otro algoritmo criptográfico, una modificación de RC4. Tampoco es cierta la declaración de que los ficheros del usuario se han enviado a los delincuentes. Kaspersky Lab ha detectado en el pasado todas las diferentes versiones de Gpcode y en todos los casos, sin excepción, los especialistas de nuestra compañía han logrado encontrar la llave para descifrar los ficheros infectados.
La firma de detección del programa Virus.Win32.Gpcode.ai se ha agregado a las bases antivirus de Kaspersky Lab. Recomendamos a todos los usuarios de nuestros productos actualizar las firmas del antivirus.
Vale decir que el módulo de defensa preactiva integrado en los productos antivirus de Kaspersky Lab versiones 6.0 y 7.0 protegen de forma fiable a los usuarios incluso sin la actualización de las bases antivirus, detectando este programa-chantajista como Trojan.generic e Invader y bloqueando sus actividades. Además, los especialistas de Kaspersky Lab han creado un procedimiento para descifrar los ficheros afectados, que será añadido a las bases antivirus muy pronto.
