O Virus “Win32.Gpcode.ak”: Um encriptador de ficheiros
Posted by Clavis Prophetarum em 2008/10/25
http://static.hsw.com.br
Um vírus – detectado pela primeira vez em Junho de 2008 – e conhecido como Virus.Win32.Gpcode.ak (com versões .ac, .ad, .ae, .af, .ag, .ai e .f) inaugura uma nova era para os criadores de vírus… É que este vírus não apaga nem danifica nenhum ficheiro na máquina infectada. Pelo contrário, “protege-os” encriptando-os… Descobre todos os ficheiros de uma extensa lista de aplicações, como CorelDraw, formatos de compressão como o zip ou o arj e encripta-os.
O vírus em si consiste num executável Windows PE que logo que é executado coloca na memória da maquina infectada uma flag que identifica a sua presença no sistema. De seguida procura em todos os discos locais ficheiros das extensões acima listadas que possa encriptar com um programa de cifra presente no próprio Windows, o “Microsoft Enhanced Cryptographic Provider” com um algoritmo RC4 e uma chave pública de encriptação RSA de 1024 bits. Ora sabendo que um tal tipo de cifra implica o conhecimento simultâneo de uma chave pública e de uma chave privada, chegamos rapidamente ao móbil do criador deste vírus… Todos os ficheiros encriptados por ele (e que no nome de ficheiro recebem a palavra “_CRYPT” são acompanhados de um novo ficheiro ReadMe com o seguinte conteúdo:
“Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [censurado]@yahoo.com”
Tradução:
“Os seus ficheiros foram encriptados com o algoritmo RSA-1024.
Para os recuperar tem que comprar o nosso decifrador.
Para comprar a ferramenta de desencriptação contacte-nos em:
[censurado]@yahoo.com”
Depois de décadas onde a principal motivação de um criador de vírus parecia ser apenas a fama entre pares, será que estamos a entrar numa nova era onde o lucro começa a ser também a sua motivação? De certa forma, isso pode ser uma boa notícia, porque implica que os criadores destes vírus terão que manter uma porta aberta algures para poderem ser contactados de forma a que seja realizado o pagamento, e isso significa formas de localizar o seu IP, a sua conta bancária, etc… Depois da vaga presente de Phishing teremos agora uma vaga de vírus encriptadores de ficheiros?
Fonte:
http://www.viruslist.com/en/viruses/encyclopedia?virusid=313444
Lusitano disse
Medo muito Medo que tenho do virus,
pois,
Utilizo GNU/Linux !!!!!!!
Lusitano disse
E dentro de pouco tempo,
Usarei OPENBSD
Segurança ao extremo.