войти зарегистрироваться

Информационная безопасность whois

индекс
212,69

Новый вирус Gpcode шифрует файлы ключом RSA-1024 и вымогает деньги за дешифратор, Kaspersky запускает проект «Stop Gpcode»

описание самого вируса
первые жертвы
посвященный вирусу форум

Обновляйте базы, делайте бэкапы - лично у меня подозрение что это только начало...
Плохо то, что сам ключ достаточно мощный - в данном случае криптография работает против конечного пользователя. Потому и вызывает сомнение успех Stop Gpcode в попытках взломать его. Хотя это скорее рекламная акция (а.к.а. "вирусный маркетинг" ;) ), так что шум без конкретного результата там только на пользу. Тем более что стиль общения на форуме как-то странно модерируется. Как только начинаются уточняющие вопросы или обсуждения недомолвок - топик быстро прикрывается.

Обновленно:
На форуме появилось сообщение про сам зашифрованный файл. Кто хочет - может поиграться.
Зачем Касперский так усиленно лезет в криптографию - для меня пока загадка.

Ну а вот статья на Хабре 2 года назад.Но это про старую версию вируса.
+38
10 июня 2008, 13:51
v1000

комментарии (129)

  • Сразу вспоминается One Half
    • Только что сам хотел это дописать. История повторяется.
      • НЛО прилетело и опубликовало эту надпись здесь.
        • Ну не думаю что это так. Тем более что это не первая попытка - вирусу как таковому, как уже заметили, года 3. то что сейчас - просто очередной "наворот" его технологии. жаль что такая "популярность" этого вируса может сыграть плохую роль - им заинтересуются конкретные вирусописатели, да и если взломают - следующий будет уже 2048 битный.
          другой вопрос - что даст сама возможнось "взламывать" 1024 битный ключ?
          Ну разве что сам Касперский придумал новую технологию шифрования и метит на место RSA ;)
    • а мне "Цифровая крепость" Брауна вспомнилась.
  • Кстати, исправьте: "ключом" и "посвящённый".
    • done! спасибо ;)
  • НЛО прилетело и опубликовало эту надпись здесь.
    • торжествую синоним анонирую? :)
      • Да ладно, как будто вы ни разу на Мак не дрочили.
        • В нашей деревне Мак не распространён, всё больше как то Винда и Убунтариум сплошной.
        • Хотя, вы правы.. был бы у меня мак Аир.. я был бы славным дрочером!!1 :)
          • какая разница на чё дрочить
            • Разница есть!
              Я вот предпочитаю девушек...
              • А девушки знают, когда вы на них дрочите?
                • Да, я шлю каждой уведомление SMS-кой.
                  Анжелина Джоли уже забанила мой номер телефона :(
        • все грешили =)
        • Ну как всегда. За коммент +5, от кармы 4 убыло. Типа «Сказал хорошо, но человек ты всё равно не хороший».
          Пойду дрочить на то, что осталось от кармы.
          • Таже ситуация, забейте :)
            • Непонятно за что минусуют.. но да ладно, вот вам отдельный камент, чтоб самоутвердится. Минусуйте наздоровье.
      • Кстати, исправьте на "онанирую")))
        • камменты не редактируются! (с) Воланд 2.0
  • НЛО прилетело и опубликовало эту надпись здесь.
  • Если бы пакостили из чистого исскуства - сработало бы. А так вирмейкер попалится на бабле. Никакие кластера в данном случае не нужны, делается "контрольная закупка" дешифратора, отслеживаются банковские счета, и пакостника берут тёпленьким в момент получения денег. Другое дело, что это работа для интерпола, а не ЛК...
    • Могут поймать. Но не факт, что после этого файлы будут расшифрованы.
      • ОМОН к стулу начнёт привязывать и узнают.
        • Аха, есть такое - терморектальный криптоанализ называется :)
          • терморектальный криптоанализ при должном упорстве иногда превращается в криптосинтез ;)
    • Никого не поймают, ибо никто и не будет деньги снимать.
      Не для того вирус писался.
  • Не написано под какую ОС вирус. Если вирус есть - сразу подразумевается что он под Windows? :)
    • Сходите по первой ссылке: Platform Win32.
    • НЛО прилетело и опубликовало эту надпись здесь.
    • Ну мне сегодня от юзеров пришли два линуховых руткита. И еще с десяток файлов с какой-то заразой под линух. Так что не только "вендекапец" :-)
      • Только для запуска надо скомпилировать и запустить ;)
        • Не, в том-то и дело, что не скрипты и не сорцы. Один вообще через Int80 работал.
          • ого. а можно в подробностях?
            • Увы, я в линоховом зверье очень плохо разбираюсь... Не знаю там нормальных отладчиков, нет документации...
        • И перекомпилировать ядро.
          • А на винду поставил и работает.
            • Ещё одно преимущество лайнакса. :-)
              • как знать ;-)
      • Мне сегодня от юзеров пришел жезл повелителя вселенной =) И с десяток колец Силы =) ыыы
    • все события случаются в москве, все вирусы пишутся под виндовс
      поэтому такие очевидные «сведения» не грех и опустить
      :)
  • Так не интересно ... судя по всему пара ключей одна. Вот когда появится вирус, который будет по интернету сгружать открытый ключ RSA-2048 для каждого отдельного компа и им шифровать, вот тогда будет интересно :)
    • вот это как раз и пугает. честно говоря откровенно гадкое применение в принципе нужной и важной технологии ;(
      • НЛО прилетело и опубликовало эту надпись здесь.
  • Наверняка ошибка где-то во всей этой схеме есть... Не в выводе денег, а где-то в технических моментах. Надо только ее найти... :-)
    • Пишут, что вирь использует CryptoAPI ... если только в самом CryptoAPI баг найти, тогда поможет :)
      • Дело не в том, ЧТО использовать, а в том, КАК :-) Я могу криво вызвать fread и у меня программа выпадет с ошибкой. Но ошибка не в fread, а в моей программе. Например, используется где-то для инициализации системное время - можно перебрать все даты в некотором промежутке... Ну и так далее.
        • Бесспорно :) Однако, в собственной реализации RSA гораздо проще наделать ошибок, чем в использовании CryptoAPI :)
  • особенно 89 понравилось в названии мыла :)
    Куда родители смотрят?
    Что есть то есть. Ловят либо интелектуально недалеких личностей либо жадин. В данном случае парнишка попадает под второе.
    Проблеммы в выслеживании не вижу. Статейка в УК РФ тоже предусмотрена.
    А там зажуму плоскогубцами одно место. Вот RSA и сломан ;)
    • Паяльник надо юзать - это ж классика! ;-)
      Но хочу заметить, что и такой способ криптоанализа не гарантирует успеха :-(
    • терморектальный криптоанализ (с)
    • Непонятно куда с мотрят.

      Должно быть 69, это же все знают :)
  • хм)

    было бы неплохо послать разрабочику вируса пачку троянов на мейл, который он любезно предоставил)
    • И что? Угробит у него троян файло и шансов на восстановление зашифрованной информации станет существенно меньше...
      • Не шариш! Он файло не грохнет а утянет!
        • Шарю, не беспокойтесь :-) Вероятность есть и того что утянет, и того что грохнет. Поэтому ффтопку такое.
        • Смотря какой троян написать.
      • зачем так сразу?

        можно поадминить разработчика удалённо...
    • Дельное предложение. Это к ЛК.;) Пусть сварганят чё-нить чтоб его антивирь не поймал.
      Вижу заголовки газет: троян Лаборатории Касперского спас мир.
    • Не думаю, что разработчики вирусов заботятся о своей компьютерной безопасности меньше, чем антивирусные компании. Вспомните например, насколько часто ловят вирусописателей...
  • НЛО прилетело и опубликовало эту надпись здесь.
    • НЛО прилетело и опубликовало эту надпись здесь.
  • Для всех пострадавших, получается, нужен дешифратор с разными ключами?
    • ключ вроде генерируется для каждой машины свой - потому метод "купить для всех дешифратор у автора" не получится.
  • Почему то нигде не написано как этот вирус распространяется
    • В том и суть. Темнят они. Вирус вроде даже поймали, пока тот сам не уничтожился - но вот подробности словно у них был контакт с пришельцами - только слухи, а факты усиленно скрываются.
      • Вот сразу всё стало и понятно!
    • http://www.viruslist.com/ru/analysis?pubid=188790045
      • Дату посмотрите - 2006 год. Другая модификация, короче.
        • дата не отменяет способа распространения)
          • Но и не подтверждает :-)
    • а это не важно для целей вирусного маркетинга. Главное, что ЛК обнаружили, поймали, проанализировали вирус, который никто и никогда до них не видел. Если эта маленькая пиар акция провалится, то случайно произойдет новая вирусная эпидемия.
      Вот такой нынче (анти)-вирусный бизнес.
      • Ага, а если и слеудющая акция провалится, то вирусы будут выкидывать рекламу ЛК, и лишь потом выполнять своё основное назначение. :D
  • а вот вам взгляд на проблему немецких пользователей интернета и частично немецких же пользователей, ответственных за компьютерное оборудование на предприятиях (взгляд этот поддерживается также и политическими деятелями на уровне намёков, общих формулировок, призывов к защите отечественного производителя, нагнетания паранои и т.д.):
    за распространение вирусов ответственны иностранные компании, производящие антивирусное ПО. иностранные компании стран западно-демократического толка на такое, конечно же, неспособны. но есть фирма-квазимонополист с востока, руководитель которой получил образование в структуре госбезопасности... ну, и далее насколько фантазии хватает.
    • Делать нам больше нечего, как вирусы придумывать :-) Нам чужих хватает по самое немогу... Не сотрудник "монополиста". Спасибо, кстати, за информацию.
    • Хочется верить, что все не так, но совсем не исключена такая вероятность в целях привлечения клиентов или более банальной наживы
  • У меня иногда складывается впечатление, что антивирусные магнаты сами придумывают новые вирусы, и у них даже есть отдельные секретные лаборатории для этого =) ну а потом запускают новые вирусы и, выдержав тактичную паузу, начинают рекламную кампанию - "Мы его победим!" Ну и побеждают, конечно.
    *На сии размышления меня натолкнул заголовок вышеизложенной публикации.
    • меня на сии размышления навел форум у Касперского, где малейшее упоминание такого рода мыслей приводит к закрытию топика.
      честно говоря разум требует сенсаций (чтобы хоть кто-то факты накопал). а то без фактов думать можно все что угодно, в том числе и обвинять в том чего на самом деле нет.
      • возможность накопать факты есть у работников самих антивирусных лабораторий. но кто из них осмелится огласить это?
        • Ну я оглашу. Ни я, ни мои коллеги (насколько мне это известно) вирусов не пишут. Чужих хватает по самое не могу.
          • значит, все-таки отдел по созданию вирусов серьезно засекречен =))
            • Теория заговора :-)
              • Она самая ;)
                Но также верно что "даже если вы параноик, это не значит что за вами не следят" ;)
    • Подумал абсолютно о том же, прочитав заголовок :-)
    • Странно. А не складывается ли впечатление, что по ночам, гнусные стоматологи, подбрасывают совершенно здоровым людям гнилые зубы ?
      • простите, но вы проводите несколько некорректные аналогии.
        да и впечатление у меня сложилось не на пустом месте. Пиар - штука тонкая, а иногда и грязная. К тому же, я ничего не утверждаю. Лишь предпологаю.
        • Отчего же некорректные ? Ну если не нравится такая, то приведу другую - хирурги по ночам режут прохожих. Тоже не удачно ? :) А почему подобные предположения в адрес компании, занимающейся (и достаточно успешно) информационной безопасностью и устранением последствий заражения всякий фигнёй, у вас проходят и считаются нормой, а в адрес, скажем, врачей - нет ?
  • Что-то подобное было пару лет назад, вирус Trojan.encoder, о котором писал тут, между прочим та еще история...
  • Этому вирусу уже два года http://www.symantec.com/security_respons…

    Касперскому - пять баллов за оперативность.
    • Прошу прощенья, ТРИ года
      • это НОВЫЙ вирус. про старый даже на хабре было. для старого и дешифратор есть - для нового пока нет.
    • Ну и где у симантека написано про длину ключа и используемые алгоритмы? Этак вы начнете утверждать, что WinXP - суть Win3.11 потому что GUI есть и название то же самое?
    • Не поленились бы Вы пройти по предоставленным ссылкам и немного дальше, прочтали бы следующее "4 июня 2008 года специалистами ЛК был обнаружен новый вариант опасной вредоносной программы – шифровальщика «Gpcode»." и не делали бы столь громких выпадов.
  • Можно попробовать поломать RC4 в случае если в "вирусе" слабый генератор ключа - RC4 сильно зависим от качества генератора. RSA в общем случае поломать невозможно - даже если подберут (что почти невероятно) RSA ключ, то следующая модификация начнет использовать ключ большей длины.

    На самом деле проблема в другом: данные зашифрованные суть данные потерянные для пользователя. Можно ничем не шифровать, а просто удалять. Пользователю разницы никакой. Поэтому лучший антивирус в данном случае - регулярные бекапы. Бережет ваши данные с утра до следующего утра.
    • Генератор ключа скорее всего тоже из CryptoAPI взят, так что вся надежда на Microsoft. :)
      • Видал я таких авторов компонент (включающих шифрование), которые генератор даже не инициализировали при создании ключа. Так что всякое бывает.
        • Угу, бывает.

          Меня смущает, что о ключе RC4 ничего не сказано, ни битность, ни способ генерации. Неужели никак не могут отреверсить злосчастный вирус..
  • А IBM как раз же построила новый супер-компьютер RoadRunner, пускай сломают им этот ключ в два счета.
    • В два счета не получится даже на RoadRunner...
      Хотя конечно 1024 бита для RSA - это маловато.
      • почему нет? они рассматривают атаку по известным исходным данным на ключ, т.е. потенциально ЛК будет в скором времени иметь формулы расчета и генерации закрытых ключей для этого случая. И машинки типа RoadRunner им явно только помогут.
        • Стесняюсь спросить: а откуда такая информация???
          Насколько я знаю, криптосистемы с открытым ключем (к коим, несомненно, относится и RSA) бессмысленно взламывать атакой с известным открытым текстом. Так как действие криптоалгоритма основывается на теоретико-числовой проблеме разложения на множители, то существуют две наиболее перспективных атаки: разложение на множители с целью восстановления закрытого ключа, либо (что эквивалентно по сложности) подбор параметров, при которых расшифрование проводится при помощи открытого ключа.
          • Вот здесь есть идея атаки с использованием известных исходных данных и вроде как ЛК рассматривает эти идеи. Кстати, до сих пор как-то не ясно: RC4 это или все же RSA.
            • Я думаю, что это RC4 (или что-то еще с секретным ключем - я бы выбрал AES).
              Кстати, в форуме ЛК указывается именно RC4. Шифровать RSA просто глупо - скорость слишком низкая.
              Кстати, скорость RC4, наверное, самая большая среди известных систем шифрования с закрытым ключем (только TEA может его обогнать, но он не так распространен).

              На самом деле у меня есть следующая идея:
              Зачем ломать систему шифрования, если можно пойти в обход? Если антивирусу доступен контроль над памятью, регистрами процессора, то можно просто дампить все данные процесса вируса и таким образом ловить ключ RC4 напрямую в памяти в процессе генерирования.
              Думаю ЛК таким путем и пойдет.
            • Кстати, по Вашей ссылке, практически нет здравых мыслей по поводу взлома.
              Предложение ЛК вообще считаю полным бредом - ломать ключи RSA означает только смешить злоумышленника. Он завтра сменит все ключи и пиши пропало.
              • насколько я понял они ковыряют систему генерации этих ключей, выясняют зависимость.
  • Да вы не волнуйтесь. Подтянутся китайцы и напишут кряк. В первый раз чтоли)
  • Да уж. Иные времена, иные вири. Манят возможностью восстановления инфы, и все теряют время. То ли дело суровые девяностые. Чих - и ты без винта...
    • Чих - и ты без bios'а
    • Ну так. В суровые 90-е потеря компьютера была проблемой не только для обычного пользователя, но и для сотрудника крупной компании. А сейчас, в эпоху сетевых технологий и терминальных решений разве кого напугаешь убитым винтом или компом? Сдал машину в ремонт, сел за другой комп, залогинился - и ты снова на своём рабочем месте.
      Даже удалённые данные можно восстановить. Так что, этот вирус - явная будущая тенденция вредоносного ПО.
    • "одно неловкое движение — и вы отец" © )
  • Искренне сочувствую всем подхватившим эту «заразу», очень жаль разом потерять все свои файлы.
    На форуме кашмарского предлагают воспользоваться различными Recovery-утилитами, которые восстанавливают вроде бы как не затертые на физическом уровне файлы (на физическое удаление нужно время, которого у вируса нет).
    Таким образом, часть потерянной информации можно восстановить, главное - в случае заражения - не выключайте и не перезагружайте компьютер (иначе разжимания своп-файла могут затереть данные), а запустите с флешки или CD софт для восстановления удаленных данных.

    Ради этого поста пришлось зарегистрироваться на Хабре :)
    • Ссылка на обсуждение не прошла, хотя уверяли, что могу использовать html-теги.
      Ну их, эти теги: http://forum.kaspersky.com/index.php?showtopic=71903
  • НЛО прилетело и опубликовало эту надпись здесь.
  • Это вызов.

    Подбор ключа - это частный случай.

    Хотя мне вот, например, интересно. Злоумышленники предлагают дешифратор за какие-то деньги. Если им кто-нибудь заплатит и выложит дешифратор в сеть, то вся криптография пойдет по бороде. Какой смысл тогда продавать дешифратор? С точки зрения злоумышленников надо восстанавливать файлы за деньги, но если файлов будет очень много, то как это сделать, имея только один почтовый ящик на yahoo?
    • >>выложит дешифратор в сеть, то вся криптография пойдет по бороде
      Позвольте не согласиться - приведу цитату из форума Касперского:
      "Потому что данные на каждом компьютере шифруются с уникальным ключом, и ключ для одной системы не будет работать при расшифровке данных на другой системе. Поэтому этот вариант бесполезен..."
      По этой же причине нет смысла в прямом переборе - потратив 5 лет работы суперкомпьютера, получится излечить лишь одну конкретную систему.
      Этот гад (или группа гадов) очень хорошо все продумали!
      • Как я уже писал выше, Касперскому необходимо написать утилиту-монитор, которая бы делала дампы данных процессов зараженных вирусом. Идея проста: как ты не прячь, не шифруй ключ, но операции с ним происходят в оперативной памяти, следовательно ключ можно поймать и не нужно ничего брутфорсить - это уже и впрямь бред...
        • А вы вообще слышали о шифровании с открытым ключом? :)
          Зашифровать можно, расшифровать, даже зная ключ которым все шифровалось - нельзя.
          Нужен секретный ключ, который имеется только у злоумышленника и никак не в оперативной памяти.
          Хотя, если вам известен быстрый алгоритм разложения больших чисел на простые множители... всех криптографов в мире хватит удар :)
          • Хм, не обратил внимания на ваши комменты выше :) судя по всему вам это все известно
            • Вот именно! :)
              Кроме того, либо Вы невнимательно читали, либо вообще не читали: данные не могут шифроваться алгоритмом RSA (это слишком долго). Для шифрования данных используется RC4 - вот для него ключ и находится в памяти.
              Причем секретный ключ RSA и злоумышленника один, но секретный ключ RC4 генерируется для каждой машины отдельно (и, как предполагали люди в комментах он используется в сочетании с солью, получаемой из шифруемого файла - таким образом сеансовый ключ для каждого файла уникален). Искать сеансовые ключи - бред, ломать RSA - бред, хоть и меньший (это позволит расшифровать все данные, зашифрованные на текущий момент, но не спасет в случае смены ключа злоумышленником). Утилита, которая будет искать в памяти мастер ключ RC4 на мой взгляд самая перспективная идея.
              • Объясните, если не сложно, следующую вещь:
                если соль берется из шифруемого файла, файл шифруется по RC4, ключ шифрования шифруется RSA, тогда для каждого файла ключ шифрования (я про симметричный) должен быть уникальным? В таком случае его нужно где-то хранить. А, насколько я знаю, на зараженных компьютерах в файлах Readme хранится один и тот же открытый ключ.
                • Соль необязательно брать из шифруемого файла, это может быть совершенно случайная последовательность (в своем предыдущем комментарии я лишь ссылался на мнение учасников форума ЛК).
                  Сеансовый ключ ОБЯЗАН быть уникальным, иначе злоумышленник - идиот.
                  Ключ генерируется случайно для каждого файла, смешивается с солью, а после шифрования файла, сам шифруется открытым ключом RSA (который находится в Readme). После этого, сеансовый ключ для жертвы абсолютно бесполезен и может храниться в открытом виде. Скорее всего он дописывается в начало или конец каждого зашифрованного файла. Плюс, возможно, еще в начале файла ставится метка, что файл зашифрован.

                  Если жертва отсылает Readme злоумышленнику, то он запросто находит у себя пару к присланному открытому ключу (как известно, ключи RSA генерируются только парой), запихивает этот ключ в утилиту расшифрования и высылает жертве.

                  Утилита, найдя файл (скорее всего по метке), извлекает из него зашифрованный сеансовый ключ, расшифровывает его закрытым ключом и расшифровывает файл. Все!
      • тогда возникает вопрос. Если у злоумышленников есть дешифратор, то для дешифратора нужен секретный ключ (мы говорим об RSA). Откуда они берут секретный ключ, если данные на каждом компьютере шифруются уникальным ключом? Может им передаются секретные ключи для каждого компьютера каким-то образом? Мне в это мало верится.

        Если все так, как вы говорите, то никакого дешифратора не может существовать.
  • Нужно применять ректалный криптоанализ к разработчику - быстрее можно ключ получить.
  • это вирусная реклама лаборатории касперского.
    • типа каламбур :)
  • «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, объявляет о запуске международной инициативы «Stop Gpcode».
    Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak - последней версии опасного вируса-шантажиста Gpcode.
    Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.
    Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.
    Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.
    Однако в новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.
    «Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.

    http://www.kaspersky.ru/news?id=20773275…

    По-моему, Касперский сошёл с ума.
  • касперси мудак
Только авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста.