Kaspersky slaat alarm over chantagevirus
Internetgebruikers moeten erop bedacht zijn dat hun pc besmet kan worden met een ‘chantagevirus’ dat alle gegevens op hun harde schijf versleutelt. Alleen tegen betaling kan de gebruiker de gegevens nog redden, waarschuwt beveiligingsbedrijf Kaspersky Lab.
Het gaat om een nieuwe variant van het virus Win32.Gpcode.ak, dat bestanden van tientallen typen zoals *.doc, *.pdf, *.txt, *jpg en *.xls met behulp van het RSA-encryptiealgoritme volledig ontoegankelijk maakt. De nieuwe variant gebruikt een sleutel van 1024 bits en is ook op andere punten ‘verbeterd’. Vorige versies hadden een sleutel van 660 bits, die de virusonderzoekers van Kaspersky mede wisten te kraken doordat er fouten in de implementatie van het algoritme zaten. Normaliter heeft een pc met Ghz-processor er dertig jaar voor nodig om een sleutel van 660 bits te kraken.
Win32.GPcode.ak wordt waarschijnlijk verspreid als bijlage bij spammailtjes. Als de ontvanger de bijlage probeert te openen, wordt een Trojan geïnstalleerd die vervolgens het encryptievirus downloadt. Nadat het virus alle bestanden op de doel-pc heeft versleuteld, krijgt de gebruiker een tekstvenster in beeld met het aanbod tegen betaling een ‘decryptor’ te bestellen via een mailbox bij Yahoo. Dat is echter wel het laatste dat de gebruiker moet doen, aldus virusspecialist Eddy Willems van Kaspersky Benelux.
Willems noemt de chantagevirussen “zeer gevaarlijk” en adviseert pc-gebruikers te controleren of hun virusscanner up-to-date is en op maximale bescherming is ingesteld. Volgens hem is op dit moment alleen het beveiligingspakket van Kaspersky in staat het virus te detecteren en installatie tegen te houden; andere antivirusleveranciers werken er nog aan.
Een afdoende remedie na besmetting is er nog niet. Het lijkt erop dat de virusschrijver de ‘bugs’ van eerdere versies heeft gecorrigeerd. “Als het inderdaad een perfect programma is, zitten we met een serieus probleem. Dan is het een kwestie van jaren voordat de sleutel van 1024 bits kan worden gekraakt”, vreest Willems.
Gebruikers doen er goed aan een recente back-up achter de hand te houden. Een eenmaal besmette pc moet liefst niet worden afgesloten en ook niet worden herstart. Kaspersky belooft getroffen gebruikers te helpen bij het herstellen van versleutelde bestanden.
Overigens is de nieuwe variant van Win32.gpcode.ak nog maar beperkt ‘in het wild’ aangetroffen bij een klein aantal particulieren en bij één bedrijf, dat niet in Nederland is gevestigd.
Zie ook:
Reacties
Plaats een reactie op dit artikel
R.Heinen
| 9 juni 2008 | 11:43
Een remedie om dit chantage virus te omzeilen is vrij simpel: Fysieke scheiding van de Storage / Security en de Communicatie functie. Als source informatie beveiligd moet worden dan mag deze op dat moment niet beschikbaar zijn voor een ongeauthoriseerd programma zoals dit virus. Als de source informatie en de beveiligde informatie zich op een fysiek gescheiden systemen bevinden dan kan dit virus onmogelijk uitgevoerd worden op de source informatie. Uitvoering van dit virus op de beveiligde informatie heeft geen zin. Op de link http://picasaweb.google.com/freemovequantumexchange is een operationeel research systeem te vinden waarin deze functie scheiding zowel voor Computational security als Information-Theoretic (bewijsbaar veilige) security strikt is doorgevoerd.