A Kaspersky cég sajtóközleménye szerint minden eddiginél veszélyesebb formában tért vissza a netre a Gpcode kártevőcsalád. Ez a trójai és vírus tulajdonságokkal is rendelkező fertőzés a számítógép lemezén megkeresi a felhasználó számára potenciálisan értékes adatokat (például Acrobat és Word dokumentumok, Excel táblázatok, szövegfájlok, digitális fotók, C++ programozási nyelvű forráskódok), majd eltitkosítja azokat.

A vírus ezt a tevékenységét természetesen nem önzetlenül, a netezők privát szférájának védelmében végzi - a Gpcode készítője úgy kíván profitot szerezni, hogy megzsarolja a fertőzésnek áldozatul esett felhasználókat, akiktől a fájlok ismételt olvashatóvá tételért cserében váltságdíjat követel.

A módszert, amellyel már három évvel ezelőtt is próbálkozott az egyelőre ismeretlen hacker vagy online bűnöző csoport, az antivírus cégek eddig még mindig sikeresen meghiúsították.

A vírus hiába alkalmazott egyre erősebb titkosítást, a Kaspersky Labs kódelemzői a kriptográfiai algoritmus megvalósításának gyengeségeit kihasználva még a 660 bites RSA kulcsot tartalmazó Gpcode.AG fertőzést is napokon belül sikeresen visszafejtették és a fájlhelyreállítás képességét beépítették a víruskereső termékbe - pedig ilyen erős titkosítás végigszámolással történő feltörésére egy modern 2,2GHz-es számítógépnek 30 évre lenne szüksége!

Egyelőre nyerésre áll az új kártevő

Sajnos a most felfedezett Gpcode.AK elnevezésű példány a korábbi változatoknál lényegesen ellenállóbbnak tűnik a visszafejtéssel szemben. A vírusíró két év alatt befoltozta a kártevő kódjában található réseket, amelyek eddig lehetővé tették a biztonsági kutatók számára a fájlokat túszul ejtő funkció hatástalanítását és a zsaroláshoz használt titkosító algoritmus bonyolultsága is 660-ról 1024 bitre növekedett, ahogyan az képünkön látható.

Az antivírus cégek ezért jelenleg nem képesek a titkosító kártevő által már túszul ejtett, ._CRYPT kiterjesztéssel átnevezett fájlok visszaállítására, erre csak a privát kódkulccsal rendelkező félnek - vagyis a vírus készítőjének - van lehetősége. A Kaspersky Lab szakértői mégsem javasolják, hogy a károsultak behódoljanak a zsaroló követelésének, hiszen azzal csak az on-line bűnözői tevékenység további elterjedését segítenék elő.

Az is gyanúra adhat okot, hogy a most felfedezett kártevő-változat nem közli nyíltan követeléseit - ellentétben a korábbi Gpcode példányokkal, amelyek a titkosított fájlok felnyitásáért cserében 200 dolláros váltságdíjra tartottak igényt. Nem lehet tudni, hogy mibe próbálják belerángatni azt a netezőt, aki felveszi a kapcsolatot a Yahoo! webmail címet használó zsarolóval.

Ha már beütött a baj

A Kaspersky víruselemzői azt javasolják a Gpcode által megfertőzött felhasználóknak, hogy lehetőleg változatlan állapotban őrizzék meg az érintett gépet - amelyet sem tovább használni, sem kikapcsolni nem szabad! Egy másik PC-t felhasználva lépjenek kapcsolatba a védelmi szoftver gyártójával, illetve a hatóságokkal.

A károsultak levelükben a lehető legpontosabban idézzék fel azokat a részleteket, amelyek hozzájárulhatnak a felderítés és adat-visszaállítás sikeréhez:

A Kaspersky víruskutatói korábbi sikereikre alapozva remélik, hogy különösen mélyreható elemzéssel megtalálhatják az új Gpcode.AK kártevő gyenge pontjait és visszaadhatják a felhasználóknak a túszul ejtett fájlokat.

Mivel az új zsaroló fertőzés valós és komoly veszélyt jelent a felhasználókra nézve, a Kaspersky Lab szakértői fokozott óvatosságra kérik a webet böngésző felhasználókat. A gépen futó biztonsági szoftvereket érdemes a legszigorúbb beállításokkal használni, hiszen a folyamatosan futó vírusvédelem képes megakadályozni a túszejtő kártevőnek a rendszerbe történő bejutását - a Kaspersky AVP szoftverek 2008. június 4-ei vagy újabb adatbázissal már felismerik a Gpcode.AK kártevőt.