Eradicate.malware

Es posible recuperar datos cifrados por Gpcode.ak.
La acción de este Virus es la de encriptar archivos predefinidos por el autor del virus con un algortimo RSA de 1024 bits (por si acaso).
Para hacernos a la idea de como es de larga una clave de 1024 bits, abriremos un bloc de notas simple y escribiremos justamente 128 caracteres (numeros, letras y simbolos). Mas o menos quedaria asi la clave:
"jhdfskajd83289471239ljknejlbwjasd9893294u23iheuqwhd8qw089e8293-?¿¡/!dsvcxvcvbvc4io23jnl23h98deyehdfehnd89h8d213he23igejokçpkqkwp". El ejemplo es de longitud, una clave aleatoria no contendría tantos caracteres repetidos.
Tambien decir que encripta los archivos de todos los discos instalados, esto es desde la C:\ hasta Z:\. Los tipos de archivos que infecta son los siguientes:
7z , abk , abd , acad , arh , arj , ace , arx , asm , bz , bz2 , bak , bcb , c , cc , cdb , cdw , cdr , cer , cgi , chm , cnt , cpp , css , csv db , db1 , db2 , db3 db4 , dba dbb , dbc dbd , dbe , dbf , dbt , dbm , dbo , dbq , dbx , Djvu , doc , dok , dpr , dwg , dxf , ebd , eml , eni , ert , fax , flb , frm , frt , frx , frg , gtd , gz , gzip , gfa , gfr , gfd , h , inc , igs , iges , jar , jad , Java , jpg , jpeg , Jfif , jpe , js , jsp , hpp , htm , html , key , kwm , Ldif , lst , lsp ,
lzh , lzw , ldr , man , mdb , mht , mmf , mns , mnb , mnu , mo , msb , msg , mxl , old , p12 , pak , pas , pdf , pem , pfx , php , php3 , php4 , pl , prf , pgp , prx ,
pst , pw , pwa , pwl , pwm , pm3 , pm4 , pm5 , pm6 , rar , rmr , rnd , rtf , Safe , sar , sig , sql , tar , tbb , tbk , tdf , tgz , txt , uue , vb , vcf , wab , xls ,
xml .

Una vez infectado, se mostrará un mensaje al usuario con el siguiente contenido:

**********************************************************

Your files are encrypted with RSA-1024 algorithm.

To recovery your files you need to buy our decryptor.

To buy decrypting tool contact us at: [censored]@yahoo.com

**********************************************************

Captura de la modificación de ficheros:

Hasta la fecha ha sido imposible descifrar los ficheros encriptados por Gpcode.ak sin la clave secreta utilizada durante el proceso de codificación. Sin embargo, Kaspersky Lab cree haber logrado identificar un método para recuperar los documentos cifrados.
La técnica se basa en el hecho de que antes de codificar un fichero, Gpcode.ak crea un archivo “paralelo" que contiene información cifrada del documento original. Una vez completado el proceso de encriptación, el virus suprime el fichero original. Los expertos saben que existe la posibilidad de recuperar ficheros eliminados sólo si los datos en el disco duro no han sufrido grandes cambios. Esta es la razón principal por la cual Kaspersky Lab recomienda a los usuarios afectados no reiniciar sus equipos, ponerse en contacto con su proveedor de seguridad TI y usar diferentes programas para recuperar ficheros eliminados.
Desafortunadamente, la mayoría de estos programas son distribuidos con licencias shareware. Por eso, los analistas de virus de Kaspersky Lab buscaron la solución más accesible que pudiera ayudar a los usuarios a recuperar los ficheros eliminados por Gpcode.ak después del cifrado. Los especialistas concluyeron que el programa gratuito PhotoRec, creado por Chritophe Grenier y que se distribuye bajo la licencia GPL, representa la mejor defensa contra la pérdida de ficheros atacados por el virus Gpcode.ak.
En un principio, PhotoRec fue creado como una herramienta para recuperar ficheros gráficos (PhotoRec es una abreviación de Photo Recovery). Posteriormente, sus funciones fueron ampliadas y actualmente el programa puede recuperar documentos Microsoft Office, ficheros ejecutables, documentos PDF, TXT y diferentes archivos comprimidos.
Posibles variantes reconocidas: .ac, .ad, .ae, .af, .ag, .ai, .f
Aclaraciones: Vi en páginas que se le reconocía como un Gusano, o como un Troyano, pero pienso que esto no es del todo así. Como norma general un Gusano tiene la propiedad de duplicarse asi mismo para colapsar/saturar sistemas o redes y no crea conexiones. En cuanto a los Troyanos, estos no tiene la costumbre de duplicarse pero si crean una conexion para poder mandar ordenes a la PC infectada. Pues al hilo el "Virus GPCode" no tiene otra finalidad que una estafa a media/gran escala, pues la única acción que se le reconoce es la de Encriptar casi todos los ficheros existentes en las plataformas Windows para que despues de pagar cierta cantidad de dinero puedas recuperar la legibilidad de esos ficheros enciptados mediante la clave RSA de 1024 bits que te sería enviada al correo.

Para solucionar el problema que crea este virus rebelde haremos uso de las siguientes utilidades: