Κατά την πρώτη εμφάνιση του ιού gpcocode πριν από δύο χρόνια, η Kaspersky είχε καταφέρει να τον αντιμετωπίσει και είχε προειδοποιήσει για την επικίνδυνη εξέλιξη των ιών. Φέτος τα πράγματα είναι λίγο διαφορετικά..
Ο νέος gpcode.ak είναι ένας ιός που μεταδίδεται μέσω mail, και κατά την εκτέλεσή του κρυπτογραφεί αρχεία στο δίσκο με επέκταση doc, txt, jpg και άλλα σχετικά και σβήνει τα αρχικά αρχεία. Έπειτα δημιουργεί ένα αρχείο txt σε κάθε φάκελο το οποίο περιέχει ένα κείμενο που προτρέπει το θύμα να επικοινωνήσει με κάποιο e-mail για να αποκρυπτογραφηθούν τα αρχεία του και φυσικά όχι δωρεάν.
Ο ιός χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης RC4 που είναι ενσωματωμένος στα windows. Το κλειδί που χρησιμοποιείται, κρυπτογραφείται με ένα δημόσιο RSA κλειδί 1024 bit. Το ιδιωτικό κλειδί γνωρίζει προφανώς μόνο ο κατασκευαστής του gpcode (το gp του ονόματος που δόθηκε στον ιό νομίζω πως είναι εμπνευσμένο από το pgp).
Τα προβλήματα είναι τα εξής:
– Η δεύτερη έκδοση του gpcode χρησιμοποιεί κλειδί 1024 bit και όχι 660 όπως η πρώτη, που σημαίνει πως δε σπάει που να χτυπάμε τον κ… κάτω.
– Δεν έχει ατέλειες στον κώδικα κρυπτογράφησης που θα μπορούσαν να οδηγήσουν στο ιδιωτικό κλειδί.
Προσπαθώντας λοιπόν να βρει λύση η Kaspersky που ήταν και η πρώτη εταιρία που ανακοίνωσε την εμφάνιση του gpcode.ak, κάλεσε μέσα από το forum της όλους όσους ασχολούνται με το αντικείμενο και μπορούν να βοηθήσουν να επικοινωνήσουν με αυτούς ή να κάνουν post στο forum.
Το καλό της υπόθεσης είναι πως ο ιός απλά σβήνει χωρίς να κάνει ασφαλή διαγραφή των αρχικών αρχείων (κάτι που μάλλον δε θα ισχύει στην επόμενη έκδοση του ιού). Έτσι μπορεί όποιος έχει μολυνθεί να επιχειρήσει να ανακτήσει τα χαμένα του αρχεία με κάποιο ανάλογο πρόγραμμα όπως το PhotoRec που είναι και free 😉 .
Τελικά η Kaspersky δημιούργησε ένα πρόγραμμα με το όνομα stopgpcode2 με το οποίο είναι δυνατό να αποκρυπτογραφήσετε τουλάχιστον ένα μέρος των αρχείων, με την προϋπόθεση πως διαθέτετε τουλάχιστον ένα από τα κρυπτογραφημένα αρχεία στην αρχική του μορφή, το οποίο προφανώς ανακτήσατε ή είχατε κάνει backup.
Για αναλυτικότερες οδηγίες για την αντιμετώπιση του gpcode.ak διαβάστε εδώ.
sprocket
stilia
mechanicshell 