El virus llamado Gp Code con sus variantes Virus.Win32.Gpcode.b, .ai, ak, es un troyano w32 que encripta los archivos de la victima impidiendo así su uso y lectura, además de pedir "rescate" para desencriptar dichos archivos.
Información técnica:
El troyano esta un PE[?] de unos 56 kilobytes de largo, empacado con un compresor UPX[?] que es un programa de "open source" o código abierto.
Como es que infecta este virus, bien a la persona incauta que ejecute este programa lo primero que hará sera crear una entrada en el registro en [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] con el valor de "services"="[file name]" donde "file name" es el nombre del troyano. esto lo hace para iniciar cada ves que inicies sesión en tu computadora y encriptar archivos nuevos que hayas introducido.
Su encriptación es de 1.024 bits tipo RSA que es un sistema criptográfico de clave publica, en pocas palabras no se ha encontrado forma aún de poder descifrar por completo un archivo cifrado con este algoritmo.
Después le sigue la parte de la extorsión en cada lugar que haya un archivo cifrado con extensión ._CRYPT a su lado se encontrará una archivo de texto con el nombre de !_READ_ME_!.txt.
un extracto del texto dice:
Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: [
Aunque existe un consuelo el virus no encriptará archivos en la carpeta de archivos de programa y archivos ocultos, tampoco archivos menores a 10 bytes y mayores a 734003200 bytes (87 megas).
Ahora bien como puedo recuperar mis archivos?
desde una computadora limpia (sin virus)
1) Descarga Stopgpcode2 tool [Click], guardalo en una memoria USB
2) Ejecuta el programa en la pc infectadadesde Inicio > Ejecutar > cmd, Escribe en la ventana de comandos (letra de la unidad):\stopgcode2.exe (letra de la unidad):\encrypted (letra de la unidad):\backup (letra de la unidad):\decypted
3) después de que el programa finalice encontraras una carpeta con tus archivos desencriptados en la unidad que escogiste para guardar tu información.
"(letra de la unidad)" hace referencia a la letra otorgada a tu memoria usb por windows, que usualmente es "F" o "G".
Source: securelist.com - f-secure.com - entre otras
