Nieuw virus versleuteld bestanden met 1024-bits

Gepubliceerd: zondag 8 juni 2008 in virussen. Reageer

Kaspersky Lab waarschuwt consumenten voor een nieuwe variant Gpcode namelijk Virus.Win32.Gpcode.ak., een gevaarlijk zogenaamd encryptie-virus. De schrijver van Gpcode heeft er twee jaar over gedaan om het virus te verbeteren. De voorgaande fouten zijn gecorrigeerd en de sleutel is verlengd tot 1024-bits in plaats van 660-bits.

Gpcode.ak versleutelt bestanden met verschillende extensies (bestanden als .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h) door het gebruik van een RSA-encryptie-algoritme met een 1024-bits sleutel.



Nadat Gpcode.ak bestanden heeft versleuteld op de computer van het slachtoffer, verandert het de extensie van deze bestanden naar ._CRYPT en plaatst een tekstbestand genaamd !_READ_ME!.txt in dezelfde map. In het tekstbestand vertelt de cybercrimineel het slachtoffer dat de bestanden versleuteld zijn en biedt deze tegen betaling een decryptor (ontsleutel-bestand) aan:

«Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com»

Naast een volledige en optimale internetprotectie is het uitermate belangrijk om in dit geval ook een goede back-up bij de hand te hebben. Decryptie is in dit geval niet zo maar mogelijk aldus Eddy Willems van Kaspersky Lab Benelux. Hij wil eventuele slachtoffers benadrukken geen contact op te nemen met de blackmailer. In geval van infectie raadt Kaspersky slachtoffers aan contact op te nemen door gebruik te maken van een andere computer. Start de geïnfecteerde computer niet opnieuw en sluit hem niet af!

Slachtoffers kunnen contact opnemen door te mailen naar stopgpcode@kaspersky.com. Hierbij is het van belang dat men de exacte datum en tijd van de infectie vermeldt, evenals alle handelingen die men verrichtte in de vijf minuten voordat de computer geïnfecteerd is zoals welke programma’s men gebruikte en welke websites bezocht werden. Kaspersky Lab zal slachtoffers proberen te helpen met het herstellen van de bestanden die versleuteld zijn.

Op 4 juni 2008 voegde Kaspersky een signature toe tegen het virus Win32.Gpcode.ak. Virusanalisten van Kaspersky zijn er al eerder in geslaagd om vroegere varianten van Gpcode te ontmantelen doordat het hen gelukt was de Private Key te kraken. De virusonderzoekers zijn tot nu toe in staat geweest om sleutels tot 660bits te ontmantelen. Dit was het resultaat van gedetailleerde analyse van de RSA algoritme-uitvoering. Naar schatting kost het 1 PC met 2.2 Ghz, als het algoritme goed is uitgevoerd, maar liefst 30 jaar om een 660-bit sleutel te kraken.

Tijdens het schrijven van het virus was het niet mogelijk om de bestanden te ontsleutelen doordat de sleutel 1024-bits lang was en er geen fouten in de uitvoering gevonden werden. De versleutelde bestanden konden alleen ontmanteld worden door het hebben van de Private Key die alleen de schrijver bezit. De analisten van Kaspersky continueren het analyseren van de viruscode om erachter te komen hoe decryptie van de versleutelde bestanden mogelijk is zonder de Private Key.