A Kaspersky közleménye szerint minden eddiginél veszélyesebb formában tért vissza a netre a Gpcode kártevőcsalád. Ez a trójai és vírustulajdonságokkal is rendelkező fertőzés a számítógép merevlemezén megkeresi a felhasználó számára potenciálisan értékes adatokat (például Acrobat- és Word-dokumentumok, Excel-táblázatok, szövegfájlok, digitális fotók, C++ forráskódok), majd titkosítja azokat. A Gpcode szerzője úgy remél profitot szerezni, hogy megzsarolja a fertőzésnek áldozatul esett felhasználókat, akiktől a fájlok ismételt olvashatóvá tételéért cserébe váltságdíjat követel.

A módszerhez – amellyel már három évvel ezelőtt is próbálkozott az egyelőre ismeretlen hacker vagy online bűnöző csoport – az IT-biztonsági cégek eddig mindig megtalálták az ellenszert. A vírus hiába használt egyre erősebb titkosítást, a Kaspersky Labs kódelemzői a kriptográfiai algoritmus implementációjának gyengeségeit kihasználva még a 660 bites RSA kulcsot tartalmazó Gpcode.AG fertőzést is napokon belül sikeresen visszafejtették, és a fájlhelyreállítás képességét beépítették a víruskeresőbe.

Egyelőre nincs ellenszer

A most felfedezett Gpcode.AK viszont a korábbi változatoknál lényegesen ellenállóbbnak tűnik a visszafejtéssel szemben. A vírusíró két év alatt befoltozta a kártevő kódjában található réseket, amelyek eddig lehetővé tették a biztonsági kutatók számára a fájlokat túszul ejtő funkció hatástalanítását, és a titkosító algoritmus bonyolultságát 660 bitről 1024 bitre növelte.

Az antivíruscégek ezért jelenleg nem képesek a titkosító kártevő által már túszul ejtett, ._CRYPT kiterjesztéssel átnevezett fájlok visszaállítására, erre mostani állás szerint csak a privát kódkulccsal rendelkező félnek – vagyis a vírus készítőjének – van lehetősége. A Kaspersky Lab szakértői mégsem javasolják, hogy a károsultak behódoljanak a zsaroló követelésének, mert azzal csak az online bűnözői tevékenység további terjedését segítenék elő.

Szokatlan, hogy az új kártevőváltozat nem közli nyíltan követeléseit – ellentétben a korábbi Gpcode-példányokkal, amelyek a titkosított fájlok felnyitásáért cserébe 200 dolláros váltságdíjra tartottak igényt. Nem lehet tudni, hogy mibe próbálják belerángatni azt a netezőt, aki felveszi a kapcsolatot a yahoo!-s e-mail címet használó zsarolóval.

Ha már bejutott...

A Kaspersky szakértői azt javasolják azoknak a felhasználóknak, akiknek a gépét megferőzte a Gpcode, hogy lehetőleg változatlan állapotban őrizzék meg az érintett gépet, amelyet sem tovább használni, sem kikapcsolni nem szabad! Egy másik PC-t felhasználva lépjenek kapcsolatba a védelmi szoftver gyártójával, illetve az illetékes hatóságnak – kérik.

A Kaspersky kutatói remélik, hogy mélyreható elemzéssel megtalálhatják az új Gpcode.AK gyenge pontjait is, és visszafejthetik majd a túszul ejtett fájlokat. De mivel az új fertőzés komoly veszélyt jelent a felhasználókra, fokozott óvatosságra intik az internetezőket. A gépen futó biztonsági szoftvereket érdemes a legszigorúbb beállításokkal használni, hiszen a folyamatosan futó vírusvédelem képes megakadályozni a kártevő bejutását a rendszerbe.