11 de junio de 2008

Tweet

---

Kaspersky pide ayuda contra el malware GpCode

Desde hace unos días la gente de Kaspersky Labs publicó la noticia de haber descubierto una nueva y peligrosa variante del malware GPCode del cual según cuentan, fueron los primeros en descubrir las primeras variantes de este pero con claves más pequeñas en el 2006.

GPCode cifra los archivos doc, txt, pdf, jpg y ccp impidiendo su lectura, utilizando un algoritmo RSA con una clave de 1024 bits la cual hasta el momento es imposible de romper.

La raíz de los archivos infectados es modificada a ._crypt y son subidas a un archivo de texto donde se indica que es necesario contactar a una dirección anónima de correo electrónico para comprar una clave y así poder recuperar el acceso a nuestros archivos, o sea que un verdadero chantaje cibernético.

Kaspersky ha hecho un “Pedido publico de ayuda” a todas las compañías Antivirus al rededor del mundo, criptógrafos, instituciones gubernamentales y científicas, investigadores independientes, y a todo el que quiera dar una mano para intentar romper la llave pública con la que el troyano cifra los archivos y encontrar la llave privada asociada.

Pienso que en lugar de pedir ayuda para romper estas claves que es una acción prácticamente imposible y donde ellos mismos hablan de que se necesitarían un año y 15 millones de PCs, lo más productivo por parte de Kaspersky Labs seria buscar soluciones de prevención y bloqueo en lugar de desinfección.

Mirando en Hispasec me encontré con un par de comentarios de unos expertos en la materia con los cuales concuerdo totalmente y me gustaría compartirlo con ustedes:

“Mario Ballano” (48bits)

Me parece un poco desproporcionado intentar romper la llave del virus, creo que es algo que se veía venir ( de hecho cuando analizamos esa variante lo primero que pensé fue “¿por qué es tan lerdo el autor de este malware? con lo fácil que hubiera sido usar criptografía asimétrica!” ).
Personalmente me parece simplemente un movimiento mediático por parte de Kaspersky, ya que por mucho que se logre romper esa clave no se evita nada, el autor puede cambiarla en cualquier momento y es infinitamente más costoso romperla que recrearla ;-).
En fin, la solución debería ser detener la amenaza antes de que te afecte, no intentar solucionarlo a posteriori, este malware deja una ventana abierta a la recuperación de los datos (para sus propios fines claro) pero bien podría simplemente dañarlos o borrarlos y en tal caso no habría “marcha atrás”.

“VMalvarez” (Hispasec)

No cabe duda de que se trata de una jugada publicitaria. Ellos mismos reconocen que haría falta un año y 15 millones de ordenadores para romper la clave, y no creo que sean tan ingenuos para creer que van a poder reunir semejante poder de cómputo. Y esto de pedir ayuda me recuerda cuando pidieron ayuda a la policía porque decían que no podían con tanto malware suelto por el mundo. La cosa es hacerse notar.

Actualizado 18 de Junio:

• Novedades de Gpcode (Kaspersky Labs)
• Es posible recuperar datos cifrados por Gpcode.ak (Diario TI)

Desde InfoSpyware les recomendándonos hacer copias de seguridad de sus archivos importantes para estar prevenidos de cualquier de este tipo de parásitos.

Surf Safely

Posts relacionados:

• Latinoamérica dentro de los más afectados por la BotNet Mariposa.
• Virut – “Cuidado con la pesadilla” !!!
• Advanced SystemCare 3
• Kaspersky Antivirus 2011
• InfoSpyware Arg. junto al padre de Kaspersky Antivirus.
• 1 millón + 1 millón = 20 millones de Virus
• Panda Cloud Antivirus 1.0 Final Release
• McAfee Antivirus y un Falso Positivo (W32/Wecorl.a) que deja sin funcionar a millones de PCs en el mundo.
• Panda Cloud Antivirus Free Edition 1.1.2
• Falsos emails spam de Facebook para actualizar cuenta de usuario.