Kaspersky Lab identifie une nouvelle version du code malicieux Gpcode - Virus.Win32.Gpcode.ak.

Cette nouvelle variante de Gpcode chiffre les fichiers aux extensions DOC, TXT, PDF, XLS, JPG, PNG, CPP, H et autres sur les disques durs à l'aide de l'algorithme de chiffrement RSA 1024 bit.

Après avoir chiffrés les fichiers, le virus affiche le message suivant :

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor
To buy decrypting tool contact us at: ********@yahoo.com

[Traduction: Vos fichiers sont chiffrés par un algorithme RSA-1024. Pour restaurer vos fichiers vous devez acheter notre décodeur. Pour acheter le décodeur, contactez-nous à l'adresse ********@yahoo.com.]

A l'heure actuelle il n'y a aucun moyen de récupérer les données sans céder au chantage.

Kaspersky Lab recommande fortement à tous les internautes d'activer sur leur PC le niveau de protection maximal contre les codes malicieux et les attaques de réseaux, et d'éviter d'ouvrir des programmes suspects en provenance de sources inconnues.

La procédure de détection de Virus.Win32.Gpcode.ak a été ajoutée dans les bases de signatures de Kaspersky Lab le 04 juin à 18.39 GMT+3.

Programme malicieux qui chiffre les données de l'utilisateur sur le PC victime. Il s'agit d'une application Windows (fichier PE EXE) de 8030 octets.

Page d'accueil / Virus / Encyclopédie Virus Virus.Win32.Gpcode.ak Autre version: .ac, .ae, .af, .ag, .ai, .f

Date de détection 04 jui 2008 14:39 GMT Date de publication 06 jui 2008 Comportement Virus Plateforme Win32

   * Détails Techniques
   * Action destructrice

Détails Techniques

Programme malicieux qui chiffre les données de l'utilisateur sur le PC victime. Il s'agit d'une application Windows (fichier PE EXE) de 8030 octets. Action destructrice

Une fois exécuté, le virus crée en mémoire un identifiant unique (mutex) _G_P_C_, pour indiquer sa présence dans le système.

Le virus passe ensuite en revue tous les disques logiques à la recherche de fichiers appropriés au chiffrement.

Le programme malicieux utilise Microsoft Enhanced Cryptographic Provider v1.0 (intégré dans Windows) pour chiffrer les fichiers. Les fichiers sont cryptés à l'aide de l'algorhitme RC4. La clé de chiffrement est ensuite chiffrée à l'aide d'une clé publique RSA (1024 bit) présente dans le corps du virus.

L'algorithme RSA présente deux types de clés de chiffrement - privée et publique. Pour crypter les messages, une clé publique suffit. Un message chiffré lui ne peut être décrypté qu'à l'aide d'une clé privée.

.../...