Source Kaspersky: Virus.Win32.Gpcode.

Posté le: 08-06-2008 11:19:07

Kaspersky Lab, éditeur international reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroquerie, botnet, spam, phishing, etc.), annonce la découverte d'une nouvelle version de Gpcode, le dangereux virus maître chanteur. La nouvelle version du virus a été baptisée Virus.Win32.Gpcode.ak. L’adresse stopgpcode@kaspersky.com est à la disposition des utilisateurs de Kaspersky Lab en cas d'infection.

Le virus chiffre les fichiers de différents types (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h et autres) à l'aide d'un algorithme de codage RSA fonctionnant avec une clé de 1024 octets.

La signature de Virus.Win32.Gpcode.ak a été ajoutée aux bases antivirales de Kaspersky Lab le 4 juin 2008.

Ce n'est pas la première fois que Kaspersky Lab découvre d'autres versions du virus Gpcode (cf. le rapport récent d’un de nos chercheurs « Emergence des premiers codes malicieux maître-chanteurs » http://www.viruslist.com/fr/analysis?pubid=189121344) et dans chaque cas, les experts de la société avaient été en mesure d'obtenir la clé secrète grâce à une analyse cryptographique détaillée des données dont ils disposaient.

Jusqu'à présent, la longueur maximale de la clé RSA que les spécialistes de Kaspersky Lab avaient pu « déchiffrer » était de 660 bit. Pour rappel, l'identification d'une clé de cette longueur à l'aide d'un ordinateur doté d'un processeur de 2,2Ghz prendrait 30 ans.

Après cet incident, l'auteur de Gpcode patienta près de 2 ans avant de créer une nouvelle version plus performante de son virus, débarrassé des anciennes erreurs et exploitant une clé encore plus longue.

A l'heure actuelle, nous n'avons pas encore pu déchiffrer les fichiers victimes. Le virus, dans cette nouvelle version, utilise une clé de 1024 bit . Seule une clé secrète, qui pour l'instant se trouve vraisemblablement en la possession de l'auteur du virus uniquement, permet de déchiffrer les objets cryptés par Virus.Win32.Gpcode.ak.

Les analystes de Kaspersky Lab continuent à travailler sur le virus découvert et à rechercher un moyen de déchiffrer les fichiers.

Le virus ajoute la signature _CRYPT aux fichiers cryptés et place le fichier !_READ_ME_!.txt dans le répertoire système. Ce fichier informe l'utilisateur du chiffrement des fichiers et propose d'acheter le décodeur auprès de l'individu mal intentionné. Le texte complet du message dit ceci :

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com

[Traduction - Vos fichiers sont chiffrés par un algorithme RSA-1024. Pour restaurer vos fichiers vous devez acheter notre décodeur. Pour acheter le décodeur, contactez-nous à l'adresse ********@yahoo.com.]

Kaspersky Lab conseille vivement aux utilisateurs qui ont repéré un message de ce genre sur leur ordinateur de contacter les experts de la société (en se connectant à Internet depuis un autre ordinateur) à l'adresse stopgpcode@kaspersky.com et d'indiquer l'heure et la date exactes de l'infection ainsi que les dernières actions réalisées sur l'ordinateur au cours des 5 dernières minutes avant l'infection. Il ne faut pas redémarrer ou éteindre l'ordinateur infecté.

Les collaborateurs de Kaspersky Lab déploient tous leurs efforts pour permettre aux victimes d'accéder à nouveau à leurs données.

De plus, les utilisateurs ne doivent en aucun cas suivre la proposition des cyber-criminels et verser la somme demandée car cela contribuera uniquement à conforter ceux-ci dans leur activité et qui plus est, il n'existe aucune garantie que la victime recevra le décodeur.