 Автор |
Сообщение |
Wadia
Гуру
 |
|
Сегодня прочитал об этом в журнале, решил поискать в инете чего да как...
| Цитата: |
Virus.Win32.Gpcode.ak
5.06.2008 16:57, GMT +0400, Москва , обновлено 7.06.2008 14:41, GMT +0400, Москва | комментарии (14)
Статус : средняя опасность
«Лаборатория Касперского» сообщает об обнаружении новой версии «зловреда-вымогателя» Gpcode — Virus.Win32.Gpcode.ak.
Новая версия Gpcode шифрует файлы с расширениями DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др. на жестких дисках посредством алгоритма RSA с ключом длиной 1024 бита.
После шифрования файлов вирус оставляет рядом с ними следующее текстовое сообщение:
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com
В настоящее время возможности восстановить зашифрованную зловредом информацию, не поддаваясь на требования шантажиста, не существует.
«Лаборатория Касперского» рекомендует всем интернет-пользователям включить на своих компьютерах максимально возможные режимы защиты от вредоносных кодов и сетевых атак, воздержаться от запуска подозрительных программ, пришедших к вам из ненадёжных источников, и неотложно произвести резервное копирование всей важной и критичной информации.
Детектирование Virus.Win32.Gpcode.ak было добавлено в сигнатурные базы Антивируса Касперского 4 июня в 18:39 MSK.
Если вы стали жертвой Gpcode.ak, то, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет. Напишите нам на email stopgpcode@kaspersky.com и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли. Мы постараемся помочь вам вернуть зашифрованные данные. |
Так же в журнальной статье говорилось о предложении "касперских" объединить всемирные усилия на борьбу со злом, в размере 15 миллионов современных компьютеров в течение одного года работы, с целью поиска подходов для расшифровки этого криптоалгоритма. |
|
 |
|
 |
Count Zero
Продвинутый форумчанин
 Предупреждений : 5
|
|
| про это в недавней компьютерре писали |
|
| |
|
|
Tamerlan
Продвинутый форумчанин
 |
|
| |
|
|
Bigglesworth
Эксперт
 |
|
| Хорошо что Касперского недавно поставил. |
|
| |
|
|
Wadia
Гуру
|
|
| Bigglesworth писал(а): |
| Хорошо что Касперского недавно поставил. |
А толку то? |
|
| |
|
|
Мишаня
Гуру
 |
|
| Bigglesworth писал(а): |
| Хорошо что Касперского недавно поставил. |
+1 |
|
| |
|
|
Wadia
Гуру
|
|
Вот еще...
| Цитата: |
Kaspersky запускает проект "Stop Gpcode" против вируса-шантажиста
«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, объявляет о запуске международной инициативы «Stop Gpcode».
Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak - последней версии опасного вируса-шантажиста Gpcode.
Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.
Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.
Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.
Однако в новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.
«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа. |
|
|
| |
|
|
sham
ум, честь, совесть эпохи!
 Предупреждений : 4
|
|
| delПоследний раз редактировалось: sham (Ср 23-03-22 : 02-25), всего редактировалось 1 раз |
|
| |
|
|
Wadia
Гуру
|
|
и еще...
| Цитата: |
«Лаборатория Касперского» приглашает экспертов и специалистов в области криптографии к участию в проекте «Stop Gpcode!»
4 июня 2008 года специалистами ЛК был обнаружен новый вариант опасной вредоносной программы – шифровальщика «Gpcode».
Для шифрования файлов новый вариант Gpcode использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA длиной 1024 бит, содержащимся в теле вируса.
Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение, достаточно иметь открытый ключ. Расшифровать зашифрованное сообщение можно, только располагая секретным ключом.
До сих пор все попытки факторизации ключей RSA останавливались на отметке 663 бит, решение этой задачи потребовала трехмесячной работы кластера из 80-и компьютеров.
«Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных. Максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 бит.
Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей и фундаментальной криптографической проблемой. По нашим оценкам, на взлом подобного ключа требуется примерно год работы пятнадцати миллионов современных компьютеров.
Мы не обладаем подобными вычислительными мощностями.
«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы.
Мы считаем задачу «взлома» ключа RSA-1024, который использовал злоумышленник, первым в истории случаем, который требует объединения накопленных знаний и существующих вычислительных ресурсов для достижения практической и благородной цели, а не только для академических исследований или хакерства.
Мы публикуем открытые ключи, использованные автором Gpcode.
Один ключ используется для шифрования в операционных системах Windows XP и выше.
Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus :
c0c21d693223d68fb573c5318982595799d2d295ed37da38be41ac8486ef900a
ee78b4729668fc920ee15fe0b587d1b61894d1ee15f5793c18e2d2c8cc64b053
9e01d 088e41e0eafd85055b6f55d232749ef48cfe6fe905011c197e4ac6498c0
e60567819eab1471cfa4f2f4a27e3275b62d4d1bf0c79c66546782b81e93f85d
Второй – в Windows ранних версий (до Windows XP).
Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
d6046ad6f2773df8dc98b4033a3205f21c44703da73d91631c6523fe73560724
7cc9a5e0f936ed75c75ac7ce5c6ef32fff996e94c01ed301289479d8d7d708b2
c030fb79d225a7e0be2a64e5e46e8336e03e0f6ced482939fc571514b8d7280a
b5f4045106b7a4b7fa6bd586c8d26dafb14b3de71ca521432d6538526f308afb
Экспонента для обоих ключей: 0x10001 (65537).
Этой информации достаточно для того, чтобы специалисты смогли приступить к факторизации ключа.
Значительную помощь в решении задачи может оказать создание специальной утилиты для проведения факторизации.
«Лаборатория Касперского» готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум «Stop Gpcode». |
|
|
| |
|
|
Richard Ferlow
Гуру
 Предупреждений : 2
|
|
Интересно, алгоритм в вирусе изменят и тогда что - все по новой ?  |
|
| |
|
|
Wadia
Гуру
|
|
| Думаю не ключ надо искать, а создателей евоных. Речь ведь о вымогательстве денег идет. |
|
| |
|
|
Genbor
Крокодил Гена
 Предупреждений : 1
|
|
один мудила создал - куча геммороя для всех
Поймать с**у - и за яйца на дыбу. |
|
| |
|
|
Wadia
Гуру
|
|
| есть еще одна мысль, поскольку никто кроме касперского шум не поднимал и слыхать не слыхивал, может это они и стряпуют енто дело... |
|
| |
|
|
Genbor
Крокодил Гена
Предупреждений : 1
|
|
| Wadia писал(а): |
| есть еще одна мысль, поскольку никто кроме касперского шум не поднимал и слыхать не слыхивал, может это они и стряпуют енто дело... |
о, это было бы черезчур...
хотя, конечно, вполне реально |
|
| |
|
|
Wadia
Гуру
|
|
| из принципа работы заразы: вирус активируется, шифрует, затем самоуничтожается, при этом исходные файлы удаляет! Отсюда возникает возможность восстановить их при помощи соответствующего софта. |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
Wadia
Восстановить удаленные зашифрованные файлы ?
О подобных вирусах давно говорят. В принципе о том, причастни ли к этому антивирусные компании, нельзя узнать. Хотя такое вполне возможно. |
|
| |
|
|
Wadia
Гуру
|
|
| Меня две вещи беспокоят: распространяется ли он хаотично или целенаправленно, ведь загонять его на домашнии компы простых юзверей, особого смысла нет... Куда интереснее натравить его на какой-нить банк или еще чего финансообладающее. И второе, стоит ли ограничивать доступ в инет на работе? |
|
| |
|
|
Wadia
Гуру
|
|
| Richard Ferlow писал(а): |
| Восстановить удаленные зашифрованные файлы ? |
точной информации ессно нет, но вроде удаляются исходники, т.е. незашифрованные. |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
Wadia
Это было бы слишком просто. Думаю перезаписываются. |
|
| |
|
|
Wadia
Гуру
|
|
короче, пока не поймаешь не узнаешь, как оно на самом деле 
тьфу, тьфу, тьфу. тук, тук, тук. |
|
| |
|
|
|
Аватары: Вкл|Выкл ЮзерИнфо: Вкл|Выкл Подписи: Вкл|Выкл
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы
|
|
