Virus que encripta ficheros de datos del usuario, y nos muestra un mensaje para comprar el desencriptador de ficheros a través de un correo electrónico.
Solución
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de 'Restauración del Sistema' para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Ayuda para utilizar la opción de Restauración en Windows XP.
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauración del sistema en Windows Me o en Windows XP.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Para recuperar los ficheros encriptados, deberá restaurarlos desde una copia de seguridad.
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Datos Técnicos
Peligrosidad: 2 - Baja Difusión: Baja Fecha de Alta:09-06-2008
Última Actualización:09-06-2008
Daño:
Alto[Explicación de los criterios] Dispersibilidad: Bajo
Nombre completo: Virus.W32/gpcode.ak
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Virus.Win32.Gpcode.ak (Kaspersky (viruslist.com))
Detalles
Método de Infección/Efectos
Una vez ejecutado el virus crea el siguiente mutex en memoria, con el fin de señalar su presencia en el sistema:
_G_P_C_
NOTAUn ‘mutex’ es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas, aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.
El virus, entonces inicia un escaneo secuencial de las unidades lógicas, buscando ficheros para encriptar. El virus encripta todos los ficheros con alguna extensión de las de la lista: 7z, abk, abd, acad, arh, arj, ace, arx, asm, bz, bz2, bak, bcb, c, cc, cdb, cdw, cdr, cer, cgi, chm, cnt, cpp, css, csv, db, db1, db2, db3, db4, dba, dbb, dbc, dbd, , dbe, dbf, dbt, dbm, dbo, dbq, dbt, dbx, Djvu, doc, dok, dpr, dwg, dxf, ebd, eml, eni, ert, fax, flb, frm, frt, frx, frg, gtd, gz, gzip, gfa, gfr, gfd, h, inc, igs, iges, jar, jad, Java, jpg, jpeg, Jfif, jpe, js, jsp, hpp, htm, html, key kwm, Ldif, lst, lsp, lzh, lzw, ldr, man, mdb, mht, mmf, mns, mnb, mnu, mo, msb, msg, mxl, old, p12, pak pas, pdf, pem, pfx, php, php3, php4, pl, prf, pgp, prx, pst, pw, pwa, pwl, pwm, pm3, pm4, pm5, pm6, rar rmr, rnd, rtf, Safe, sar, sig, sql, tar, tbb, tbk, tdf, tgz, tbb, txt, uue, vb, vcf, wab, xls, xml
El virus utiliza Microsoft Enhanced Cryptographic Provider v1.0 (incluido en Windows) para encriptar ficheros. Los ficheros son encriptados utilizando al algoritmo RC4. La clave de encriptación, es, a su vez, encriptada utilizando una clave pública RSA de 1024 bits de logitud, que es el cuerpo del virus.
El algoritmo de encriptación divide las claves de encriptación en públicas o privadas. Solo las claves públicas son necesarias para encriptar los mensajes. Un mensaje encriptado, solo puede ser desencriptado utilizando una clave privada.
El virus crea una copia encriptada de cada fichero original. La copia encriptada mantiene el nombre del fichero original, añadiendo la cadena _CRYPT al final del nombre del fichero. Por ejemplo:
Waterlillers.jpg - fichero original.
Waterlillers.jpg_CRYPT - fichero encriptado.
El fichero original será borrado.
El fichero crea un fichero llamado "!_READ_ME_!.txt" en cada directorio que contenga ficheros encriptados.
El fichero contiene el texto siguiente:
los ficheros localizados en el directorio "Archivos de programa" no serán encriptados. Además, el virus no encriptará los siguientes ficheros:
Con atributos "system" y "hidden" activados.
Tamaño menor de 10 bytes.
Mayores de 734003200 bytes.