В интернете появился вирус-шантажист

Discussion in 'Мировые новости. Обсуждения.' started by elimS2, 6 Jun 2008.

  1. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    222
    Likes Received:
    159
    Reputations:
    11
    [​IMG]

    "Лаборатория Касперского" сообщила о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak. Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.

    До сих пор максимальная длина ключа RSA, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

    После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.

    На данный момент расшифровать пострадавшие
    файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит. Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.

    Аналитики "Лаборатории Касперского" продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.

    К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:

    "Your files are encrypted with RSA-1024 algorithm.
    To recovery your files you need to buy our decryptor.
    To buy decrypting tool contact us at:
    ********@yahoo.com"


    Эксперты "Лаборатории Касперского" рекомендовали пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

    Источник: cybersecurity.ru
     
    2 people like this.
  2. NeOz

    NeOz Banned

    Joined:
    26 Jul 2006
    Messages:
    50
    Likes Received:
    44
    Reputations:
    -5
    Зачет)
    Ну собственно пусть уж Каспер потратится и купит ключик)
     
  3. PomaH9991

    PomaH9991 Member

    Joined:
    10 Nov 2007
    Messages:
    99
    Likes Received:
    21
    Reputations:
    5
    Хмм идея очень занятная
    +1 за смекалку
    Видел ток каторые грозили удлалить всё нах если не заплатиш, а шифровать это интересно.
     
  4. [Paran0ik]

    [Paran0ik] Elder - Старейшина

    Joined:
    22 Dec 2006
    Messages:
    221
    Likes Received:
    145
    Reputations:
    16
    660 байт = 5280 бит .... в лаборатории касперского или изобрели квантовый компьютер :) или журналистам опять лишь бы *****нять что-нить...

    Веблог «Лаборатории Касперского» :
     
    #4 [Paran0ik], 6 Jun 2008
    Last edited: 6 Jun 2008
    1 person likes this.
  5. cupper

    cupper Elder - Старейшина

    Joined:
    6 Jun 2007
    Messages:
    372
    Likes Received:
    92
    Reputations:
    5
    мама родная, я могбы восхищаться им еслиб не боялсяб етого вируса )

    Правда а че сложного в том чтобы купить дешевратор разобрать его и выяснить генерацию ключа ?
     
    #5 cupper, 6 Jun 2008
    Last edited: 6 Jun 2008
  6. [Paran0ik]

    [Paran0ik] Elder - Старейшина

    Joined:
    22 Dec 2006
    Messages:
    221
    Likes Received:
    145
    Reputations:
    16
    это Rsa , принцип работы всем известен, кури мануалы :) если лень тупо влезть в википедию, то верь на слово: без ключа ты ничего не расшифруешь...

    с учетом того что ключа два - одним шифруется инфа (открытым), другой нужен для дешифровки(закрытый), то тут два варианта - или существует только 1 пара ключей (что маловероятно... или штучно несколько (а может и сотня) билдов с разными ключами) или вир генерирует связку ключей сам, но тогда он должна посылать закрытый ключ автору программы, и из "дешифратора" ты вытащишь ключ только от своей инфы...

    короче даже теоретически "дешифратор" не сможет сгенерить тебе закрытый ключ, по тому открытому которым все зашифровано...

    кстати идея с 1 ключем рабочая - тогда в дешифраторе не будет закрытого ключа, а он будет загружаться дешифратором через защищенное соединение из инета , причем этот закрытый ключ, который дешифратор будет загружать из инета, можно зашифровать ключем, созданным специально для дешифратора, а в инете, в базе будут лежать копии закрытого ключа (который нужен для расшифровки инфы) , зашифрованные индивидуальными ключами дешифраторов ! :) после того как дешифратор скачивает с базы нужную копию, она из базы удаляется...
    получаем - копии закрытого ключа зашифрованы, т.е. если базу найдут и вскроют - толку не будет, дешифратор можно использовать только 1 раз и разбирать дешифратор смысла нет, т.к. нужный ключ в нем не хранится :)
    сорри за неровный почерк, кому непонятно - могу объяснить в картинках :)
     
    #6 [Paran0ik], 6 Jun 2008
    Last edited: 6 Jun 2008
    1 person likes this.
  7. $n@ke

    $n@ke Elder - Старейшина

    Joined:
    18 Sep 2006
    Messages:
    736
    Likes Received:
    404
    Reputations:
    134
    идея конечно достойна внимания))
     
  8. GlOFF

    GlOFF Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    695
    Likes Received:
    484
    Reputations:
    4
    Ага :) И дешифратор сделают, спрос на ключи каспера порастут ))
     
  9. lmns

    lmns Elder - Старейшина

    Joined:
    21 Feb 2007
    Messages:
    227
    Likes Received:
    111
    Reputations:
    8
    круто) автору +
    главное самому это дело не поймать)
     
  10. -Case-

    -Case- Member

    Joined:
    13 May 2008
    Messages:
    23
    Likes Received:
    5
    Reputations:
    0
    660 байт это круто, да :)
     
  11. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    222
    Likes Received:
    159
    Reputations:
    11
    "Лаборатория Касперского" выступила с инициативой Stop Gpcode

    Продолжение

    09.06.2008

    «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, объявляет о запуске международной инициативы «Stop Gpcode».

    Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak - последней версии опасного вируса-шантажиста Gpcode.

    Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.

    Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.

    Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.

    Однако в новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.

    «Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.

    Для координации действий между участниками инициативы создан специальный форум «Stop Gpcode».

    сайт касперского​
     
  12. *eXe*

    *eXe* Banned

    Joined:
    20 May 2008
    Messages:
    179
    Likes Received:
    202
    Reputations:
    0
    да. зачётный вирус.
    идея конечно заслуживает уважения
     
  13. elimS2

    elimS2 Elder - Старейшина

    Joined:
    21 Mar 2008
    Messages:
    222
    Likes Received:
    159
    Reputations:
    11
    угу, оригинальный подход. при этом навряд-ли там что-то сложное в самом вирусе, главное проникнуть, зашифровать файлы и оставить сообщение после себя и работа сделана, больше смысла оставаться на компе нету
     
  14. -Case-

    -Case- Member

    Joined:
    13 May 2008
    Messages:
    23
    Likes Received:
    5
    Reputations:
    0
    Да идея-то на самом деле баянистая, были уже вирусы шифрующие файлы на винте.
    Но тут наверное самая грамотная реализация этой идеи.
     
  15. [Paran0ik]

    [Paran0ik] Elder - Старейшина

    Joined:
    22 Dec 2006
    Messages:
    221
    Likes Received:
    145
    Reputations:
    16
    каждый файл зашифровывается при помощи RC4 со своим ключом, потом список ключей и соответствующих путей к файлам также шифруется RC4 и хранится на компьютере жертвы. Ключ к списку зашифровывается RSA-1024, его и нужно отправить автору для получения декриптора. Благодаря такой схеме купленный для одной машины дешифратор не будет работать на другой.
    Без всяких заморочек, элементарно и просто :)
    кстати хз зачем в вирусе разные открытые ключи для ХР и для ранних версий до Windows XP...

    да и непонятно почему первый раз использовался ключ в 660 бит и сейчас сразу не в 2048, а такой, который теоретически можно сломать, а потом добавить в свои базы лекарство...наводит на мысль?) только после взлома надо будет пересмотреть всю политику безопасности и отказаться от использования ключей в 1024 бита...
     
  16. cupper

    cupper Elder - Старейшина

    Joined:
    6 Jun 2007
    Messages:
    372
    Likes Received:
    92
    Reputations:
    5
    а возможно код вируса достать ???. Как я понял нужно реализовать 3 задачи:
    1) узнать алгоритм по которуму генерируеться открытый ключ (тот который отсылаеться)
    2) набрать дохренищу ключай от автара на соответсвующие открытые ключи
    3) найти их закономерность

    ЗЫ. чета мне кажеться для реализации 3 пункта нужно "нивъебинительное" количество покупных ключиков ибо 1024 бита ето не шутка и чтобы установить закономерность по теории вероятности нужна очень много выборок .
     
  17. EST a1ien

    EST a1ien Elder - Старейшина

    Joined:
    2 Apr 2006
    Messages:
    257
    Likes Received:
    48
    Reputations:
    16
    хммм прикольно но есть одно но Rsa довольно медленно шифрует а расшифровывает еще медленее. для того чтобы зашифровать файл размером 9 метров надо окло 20 минут. а расшифровать около 2 часов при длинне ключа 1024 бита
     
  18. [Paran0ik]

    [Paran0ik] Elder - Старейшина

    Joined:
    22 Dec 2006
    Messages:
    221
    Likes Received:
    145
    Reputations:
    16
    cupper, прочитай внимательно все посты, потом влезь в википедию и почитай про алгоритмы, потом почитай еще раз посты или хотябы подними глаза на пост, который выше твоего...включи моск...сделай выводы...

    EST a1ien, для тебя задачка посложнее - поднять глаза не на пост вверх, а на целых два поста! но я думаю ты справишься...что там непонятного я не вижу...вроде понятно написано что файлы шифруются симметриком, ключи от каждого файла закидываются в 1 фаел, который апять же шифруется симметриком и только 1 ключ (от этого хранилища) шифруется открытым rsa ключем ...
     
    #18 [Paran0ik], 11 Jun 2008
    Last edited: 11 Jun 2008
  19. EST a1ien

    EST a1ien Elder - Старейшина

    Joined:
    2 Apr 2006
    Messages:
    257
    Likes Received:
    48
    Reputations:
    16
    [Paran0ik] да сори реально не заметил твоего поста.
     
  20. bublebuble

    bublebuble Elder - Старейшина

    Joined:
    15 Sep 2007
    Messages:
    111
    Likes Received:
    28
    Reputations:
    0
    ха прикольно, главное не поймать такой :)
     
Loading...