Kaspersky Lab waarschuwt voor een nieuw virus dat de bestanden van de gebruiker gijzelt in een encryptiemethode die nog niet te kraken valt.
De malware is onderdeel van de Gpcode-familie en is door Kaspersky Virus.Win32.Gpcode.ak gedoopt. De eerste variant ervan verscheen in 2004 en paste toen een lichte methode van encryptie toe die makkelijk te kraken was. Het heeft twee jaar geduurd om het virus te perfectioneren, en dat is nu gebeurd. Ditmaal wordt echter het RSA-encryptiealgoritme met een 1024-bitssleutel gebruikt.
Wanneer het virus op een pc wordt uitgevoerd, worden allerlei bestanden geëncrypteerd, waaronder .doc-, .xls-, .txt-, .pdf-, .jpg- en .png-bestanden. Deze bestanden worden vervolgens van extensie veranderd en in een map geplaatst. In diezelfde map wordt ook een leesmijbestand aangemaakt waarin instructies tot betaling voor het decoderen ervan staan.
Kaspersky Lab raadt aan geen contact op te nemen met de blackmailer en de geïnfecteerde computer niet te gebruiken. Ook zou de pc niet opnieuw opgestart en niet afgesloten moeten worden. In plaats daarvan kunnen gebruikers het beste contact opnemen met Kaspersky via stopgpcode@kaspersky.com. Met daarin onder andere de laatste handelingen voor infectie zoals recent bezochte websites.
Het virus bevindt zich overigens al sinds 4 juni in de herkenningsdatabase van Kaspersky. Ontsleuteling van bestanden is alleen mogelijk met de private key die alleen de maker van het virus heeft. Kaspersky waarschuwt al sinds 2006 voor een virus dat het RSA-encryptiealgoritme gebruikt en zegt dat het probleem alleen nog verholpen kan worden via juridische procedures.
11 uur geleden
