Le virus GPCode refait surface - Virus.Win32.Gpcode.ak

[Contact75]

Source : http://www.kaspersky.com/news?id=207575650

En Français : http://techno.branchez-vous.com/actuali ... rface.html

Une nouvelle variante du célèbre virus GPCode a dernièrement fait son apparition. Kaspersky Labs, qui l'a découverte, met la communauté informatique en garde.

Ce virus est dénommé : Virus.Win32.Gpcode.ak. par les labos de Kaspersky

Lorsqu'il contamine un ordinateur, le virus crypte plusieurs types de fichiers -généralement des documents-, mais aussi tous les fichiers à extension : .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h (liste non-exhaustive) les rendant illisibles.

Le virus ajoute l'extension ._CRYPT aux fichiers remplacés et ajouter un fichier texte nommé : !_READ_ME_!.txt dans le meme répertoire.

La dernière variante utilisait une clé de 660 bits en 2006 (avec un PC à 2.2Ghz il faut 30 ans pour décoder avec la clé de 660 bits)
L'auteur a mis 2 ans pour améliorer son virus et corriger les précédentes erreurs, et la clé utilisée est de 1024 bits maintenant
Les labos de Kaspersky n'ont trouvé aucune faille et la clé pouvant décoder les fichiers est celle de l'auteur du virus

Un fichier d'explication est ensuite fourni à l'usager:

"Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com

Ou (variante traduite en Français ou après envoi d'un message à l'adresse donnée)

"Bonjour, vos fichiers sont chiffrés par l'algorithme RSA-4096.
Sans l'aide de notre logiciel il vous faudra au moins plusieurs années pour déchiffrer ces fichiers.
Toutes vos informations confidentielles de ces trois derniers mois ont été collectées et nous ont été envoyées.
Pour déchiffrer ces fichiers notre logiciel est indispensable. Ce dernier coûte 300$."

"Pour acheter notre logiciel veuillez contacter [email protected] et nous fournir votre code personnel - xxxxxxxxx. Une fois la transaction réussie nous vous enverrons l'outil de décryptage et vos informations confidentielles seront supprimées de notre système.Si vous ne prenez pas contact avec nous avant le 15/07/2007, vos informations confidentielles seront partagées et vous perdrez toutes vos données."

En fait, le virus utilise une version modifiée de l'algorithme de chiffrage RC4, et les fichiers ne sont pas envoyés à quiconque.

Kaspersky a ajouté la signature du GPCOde aux bases antivirales de ses produits et invite les usagers de ses produits à les mettre à jour. D'ici là, les versions 6 et 7 de l'antivirus détectent le GPCode comme un Trojan.generic et Invader, bloquant toute activité.

Kaspersky a aussi conçu un outil tout à fait gratuit qui permet de déchiffrer les fichiers cryptés par GPCode

http://support.kaspersky.com/viruses/co ... =193238496

KASPERSKY reccomande de ne pas relancer ou éteindre l'ordinateur infecté dès que le pop up d'infection apparait

L'historique de ce virus :

http://www.viruslist.com/en/analysis?pubid=189678219

[Malekal_morte]

Premier sujet relatif à la bête : http://forum.malekal.com/viewtopic.php? ... ode#p27298

Il se diffusait sous le nom ntos.exe (comme le Trojan.Zbot qui vole les données).