Kaspersky Lab, het internationale softwarebedrijf dat bescherming biedt tegen internetdreigingen, waarschuwt consumenten voor een nieuwe variant Gpcode namelijk Virus.Win32.Gpcode.ak., een gevaarlijk zogenaamd encryptie-virus.
Virus.Win32.Gpcode.ak
Gpcode.ak versleutelt bestanden met verschillende extensies (bestanden als .doc, .txt, .pdf, .xls, .jpg, .png en .cpp) door het gebruik van een RSA-encryptie-algoritme met een 1024-bits sleutel. De schrijver van Gpcode heeft er twee jaar over gedaan om het virus te verbeteren. De voorgaande fouten zijn gecorrigeerd en de sleutel is verlengd tot 1024-bits in plaats van 660-bits.
Nadat Gpcode.ak bestanden heeft versleuteld op de computer van het slachtoffer, verandert het de extensie van deze bestanden naar ._CRYPT en plaatst een tekstbestand genaamd !_READ_ME!.txt in dezelfde map. In het tekstbestand vertelt de cybercrimineel het slachtoffer dat de bestanden versleuteld zijn en biedt deze tegen betaling een decryptor (ontsleutel-bestand) aan:
«Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com»
Naast het versleutelen van bestanden wordt ook het bericht hieronder weergegeven:
“Dit is de laatste van een serie van zeer gevaarlijke blackmailer-virussen van deze auteur. Ik adviseer iedereen om op zijn hoede te zijn en zo snel mogelijk te controleren of je anti-virus scanner up-to-date is en op maximale bescherming staat. Naast een volledige en optimale internetprotectie is het uitermate belangrijk om in dit geval ook een goede back-up bij de hand te hebben. Decryptie is in dit geval niet zo maar mogelijk.” Aldus Eddy Willems, Virus Evangelist bij Kaspersky Lab Benelux. “Daarbij wil ik slachtoffers benadrukken geen contact op te nemen met de blackmailer.”
Wat te doen na infectie? In geval van infectie raadt Kaspersky slachtoffers aan contact op te nemen door gebruik te maken van een andere computer. Start de geïnfecteerde computer niet opnieuw en sluit hem niet af!
Slachtoffers kunnen contact opnemen door te mailen naar stopgpcode@kaspersky.com. Hierbij is het van belang dat men de exacte datum en tijd van de infectie vermeldt, evenals alle handelingen die men verrichtte in de vijf minuten voordat de computer geïnfecteerd is zoals welke programma’s men gebruikte en welke websites bezocht werden.
Kaspersky Lab zal slachtoffers proberen te helpen met het herstellen van de bestanden die versleuteld zijn.
