Analistas de virus en la empresa Kaspersky Lab han interceptado una nueva variante de Gpcode, El cual es un código malicioso (malware) que cifra datos de la victima y demandan un pago por el software de descifrado. El cambio en esta variante del “ransomware” es el uso de criptografía – RC4 para la mayor parte del trabajo y, luego, una clave RSA con una clave publica de 1024 bits para ocultar la clave RC4.

Después que Gpcode cifra los archivos en la máquina de la victima, éste añade “._CRYPT”  como extensión de los archivos cifrados y los coloca en un archivo de texto llamado “!_READ_ME_!.txt” en el misma carpeta. En el archivo de texto, el criminal le dice a las víctimas que el archivo ha sido cifrado y ofrece venderles un descifrador. El texto que se muestra es el siguiente:

«Your files are encrypted with RSA-1024 algorithm.

To recovery your files you need to buy our decryptor.

To buy decrypting tool contact us at: ********@yahoo.com»

Además, se encuentran tres direcciones de correos Yahoo asociados con la nueva versión del ransomware. 

Por último, se recomienda hacer, en forma continua, copias de seguridad de la información valiosa que se tiene. Estas copias son una gran forma para recuperar archivos.

Departamento Especializado en Seguridad - Internet

TELMEX PERÚ S.A.