Kaspersky Lab advierte sobre el superpeligroso virus Gpcode lo que es tratado por el portal de criptografía y seguridad informática Kriptopolis como una campaña de marketing viral

“El virus añade a los ficheros cifrados la palabra ._CRYPT y deja en el sistema un documento de texto !_READ_ME_!.txt en el que se informa sobre el cifrado de los ficheros y se propone comprar la llave al delincuente. El texto completo del mensaje es:

Tus ficheros están cifrados con el algoritmo RSA-1024.
Para descifrar tus ficheros, tendrás que comprar nuestro software.
Para comprar nuestro software, escríbenos a: ********@yahoo.com”

“El identikit del nuevo virus Virus.Win32.Gpcode.ak se añadió ayer, 4 de junio de 2008, a las bases de antivirus.

Kaspersky Lab ya se ha enfrentado a otras versiones del virus Gpcode (ver el artículo El chantaje cibernético: la historia de Gpcode y los expertos de nuestra compañía consiguieron averiguar la llave privada mediante un análisis criptográfico detallado de los datos que teníamos a nuestra disposición.

Nuestros expertos han logrado descifrar llaves de hasta 660 bites con un análisis preciso del algoritmo RSA. Se estima que si la encriptación del algoritmo se lleva a cabo correctamente, 1 PC con un procesador a 2,2Ghz tardaría 30 años en averiguar una llave de 660 bites

Después del último incidente, el autor de Gpcode esperó casi 2 años antes de crear una nueva copia perfeccionada de su virus, corrigiendo sus errores y usando una llave aún más larga de 1024 bites en lugar de 660.

Hasta este momento no ha sido posible descifrar los ficheros afectados porque el nuevo virus usa una larga llave de 1024 bits. La única forma de descifrar los ficheros cifrados por Virus.Win32.Gpcode.ak es tener la llave secreta, que sólo está en poder del autor del virus. Los analistas de Kaspersky Lab continúan analizando el virus en busca de la forma de descifrar los ficheros.”

Uno de mis sitios preferidos, Kriptopolis, comenta: El virus, llamado Gpcode, se detectó por primera vez en 2006, y su peligrosidad radica en el hecho de que bloquea el acceso a nuestros propios datos una vez estamos infectados, y de hecho nos pide un “rescate” en forma de pago económico para liberarlos. El virus cifra los archivos de nuestro disco duro usando un algoritmo RSA de 1024 bits.

Pase que un nuevo virus (que no un nuevo concepto) cifre ciertos datos y requiera luego de la víctima un rescate para recuperarlos, pero Kaspersky sabe perfectamente que una clave RSA de 1024 bits no puede hoy en día factorizarse (al menos no fuera de la NSA), por lo que llamar a toda la comunidad criptográfica internacional a intentarlo sólo puede responder a una broma, una chapuza o una maniobra publicitaria.

Por otro lado, tamaño esfuerzo tampoco llevaría a ninguna parte, porque bastaría cambiar la clave (e incluso fortalecerla) para que semejante "solución" quedara en nada.

Si un virus cifra tus datos y los "secuestra" puedes hacerte a la idea de que los has perdido (exactamente igual que si hubieran sido destruidos). Ni pedir ayuda a la NSA ni enviar 300 dólares a un delincuente anónimo son siquiera opciones a considerar...