Un paio di mesi fa è iniziato a circolare su internet un nuovo virus (ovviamente per Windows…) denominato Gpcode.ak, derivato da Gpcode, un vecchio virus comparso qualche anno fa.
Come il suo predecessore, Gpcode.ak cifra i file utente rendendoli inaccessibili ma a differenza del virus originale non è affetto da bug nel codice, per cui il lavoro viene purtroppo svolto efficacemente, e permette all’utente di “riavere indietro” i propri file…. dietro pagamento di un riscatto! Il virus, infatti, cifra i file utilizzando l’algoritmo RC4 contenuto nelle librerie crittografiche di Windows e poi nasconde la chiave utilizzata per l’operazione cifrandola con una chiave pubblica RSA a 1024 bit.A questo punto, quando l’utente clicca sul file sequestrato, un messaggio generato dal virus invita l’utente a contattare un indirizzo e-mail per il pagamento di un tot onde poter ricevere la chiave privata, necessaria al recupero della chiave RC4.
La vecchia versione del virus utilizzava una chiave RSA a 660 bit, sufficienti per resistere per anni ai comuni attacchi, ma, a causa di bug nel codice, rendeva possibile il recupero della chiave e, conseguentemente, il recupero dei dati. Gpcode.ak, invece, non soffre di quel bug ed inoltre l’aumentata lunghezza della chiave RSA mette al sicuro la chiave RC4 da possibili tentantivi di recupero mediante brute force, forza bruta.
Certo che la gente non sa più cosa inventarsi per fare soldi…
