В интернете появился вирус-шантажист

"Лаборатория Касперского" сообщила о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak. Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.

До сих пор максимальная длина ключа RSA, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.

На данный момент расшифровать пострадавшие
файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит. Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.

Аналитики "Лаборатории Касперского" продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.

К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:

"Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at:
********@yahoo.com"


Эксперты "Лаборатории Касперского" рекомендовали пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу [email protected], и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

Источник: cybersecurity.ru

 

Зачет)
Ну собственно пусть уж Каспер потратится и купит ключик)

 

Хмм идея очень занятная
+1 за смекалку
Видел ток каторые грозили удлалить всё нах если не заплатиш, а шифровать это интересно.

 

660 байт = 5280 бит .... в лаборатории касперского или изобрели квантовый компьютер или журналистам опять лишь бы *****нять что-нить...

Веблог «Лаборатории Касперского» :

 

мама родная, я могбы восхищаться им еслиб не боялсяб етого вируса )

Правда а че сложного в том чтобы купить дешевратор разобрать его и выяснить генерацию ключа ?

 

это Rsa , принцип работы всем известен, кури мануалы если лень тупо влезть в википедию, то верь на слово: без ключа ты ничего не расшифруешь...

с учетом того что ключа два - одним шифруется инфа (открытым), другой нужен для дешифровки(закрытый), то тут два варианта - или существует только 1 пара ключей (что маловероятно... или штучно несколько (а может и сотня) билдов с разными ключами) или вир генерирует связку ключей сам, но тогда он должна посылать закрытый ключ автору программы, и из "дешифратора" ты вытащишь ключ только от своей инфы...

короче даже теоретически "дешифратор" не сможет сгенерить тебе закрытый ключ, по тому открытому которым все зашифровано...

кстати идея с 1 ключем рабочая - тогда в дешифраторе не будет закрытого ключа, а он будет загружаться дешифратором через защищенное соединение из инета , причем этот закрытый ключ, который дешифратор будет загружать из инета, можно зашифровать ключем, созданным специально для дешифратора, а в инете, в базе будут лежать копии закрытого ключа (который нужен для расшифровки инфы) , зашифрованные индивидуальными ключами дешифраторов ! после того как дешифратор скачивает с базы нужную копию, она из базы удаляется...
получаем - копии закрытого ключа зашифрованы, т.е. если базу найдут и вскроют - толку не будет, дешифратор можно использовать только 1 раз и разбирать дешифратор смысла нет, т.к. нужный ключ в нем не хранится
сорри за неровный почерк, кому непонятно - могу объяснить в картинках

 

идея конечно достойна внимания))

 

Ага И дешифратор сделают, спрос на ключи каспера порастут ))

 

круто) автору +
главное самому это дело не поймать)

 

660 байт это круто, да

 

"Лаборатория Касперского" выступила с инициативой Stop Gpcode

Продолжение

09.06.2008

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, объявляет о запуске международной инициативы «Stop Gpcode».

Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak - последней версии опасного вируса-шантажиста Gpcode.

Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.

Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.

Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.

Однако в новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.

«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.

Для координации действий между участниками инициативы создан специальный форум «Stop Gpcode».

сайт касперского​

 

да. зачётный вирус.
идея конечно заслуживает уважения

 

угу, оригинальный подход. при этом навряд-ли там что-то сложное в самом вирусе, главное проникнуть, зашифровать файлы и оставить сообщение после себя и работа сделана, больше смысла оставаться на компе нету

 

Да идея-то на самом деле баянистая, были уже вирусы шифрующие файлы на винте.
Но тут наверное самая грамотная реализация этой идеи.

 

каждый файл зашифровывается при помощи RC4 со своим ключом, потом список ключей и соответствующих путей к файлам также шифруется RC4 и хранится на компьютере жертвы. Ключ к списку зашифровывается RSA-1024, его и нужно отправить автору для получения декриптора. Благодаря такой схеме купленный для одной машины дешифратор не будет работать на другой.
Без всяких заморочек, элементарно и просто
кстати хз зачем в вирусе разные открытые ключи для ХР и для ранних версий до Windows XP...

да и непонятно почему первый раз использовался ключ в 660 бит и сейчас сразу не в 2048, а такой, который теоретически можно сломать, а потом добавить в свои базы лекарство...наводит на мысль?) только после взлома надо будет пересмотреть всю политику безопасности и отказаться от использования ключей в 1024 бита...

 

а возможно код вируса достать ???. Как я понял нужно реализовать 3 задачи:
1) узнать алгоритм по которуму генерируеться открытый ключ (тот который отсылаеться)
2) набрать дохренищу ключай от автара на соответсвующие открытые ключи
3) найти их закономерность

ЗЫ. чета мне кажеться для реализации 3 пункта нужно "нивъебинительное" количество покупных ключиков ибо 1024 бита ето не шутка и чтобы установить закономерность по теории вероятности нужна очень много выборок .

 

хммм прикольно но есть одно но Rsa довольно медленно шифрует а расшифровывает еще медленее. для того чтобы зашифровать файл размером 9 метров надо окло 20 минут. а расшифровать около 2 часов при длинне ключа 1024 бита

 

cupper, прочитай внимательно все посты, потом влезь в википедию и почитай про алгоритмы, потом почитай еще раз посты или хотябы подними глаза на пост, который выше твоего...включи моск...сделай выводы...

EST a1ien, для тебя задачка посложнее - поднять глаза не на пост вверх, а на целых два поста! но я думаю ты справишься...что там непонятного я не вижу...вроде понятно написано что файлы шифруются симметриком, ключи от каждого файла закидываются в 1 фаел, который апять же шифруется симметриком и только 1 ключ (от этого хранилища) шифруется открытым rsa ключем ...

 

[Paran0ik] да сори реально не заметил твоего поста.

 

ха прикольно, главное не поймать такой