http://habrahabr.ru/rss/post/27152/ ru editor@habrahabr.ru habrahabr.ru Fri, 10 Feb 2012 17:45:15 GMT http://habrahabr.ru/ http://habrahabr.ru/i/logo.gif http://habrahabr.ru/blogs/infosecurity/27152/#comment_878694 http://habrahabr.ru/blogs/infosecurity/27152/#comment_878694 Tue, 19 Aug 2008 22:06:02 GMT dimka666 http://habrahabr.ru/blogs/infosecurity/27152/#comment_725938 http://habrahabr.ru/blogs/infosecurity/27152/#comment_725938 Wed, 25 Jun 2008 07:28:04 GMT aero http://habrahabr.ru/blogs/infosecurity/27152/#comment_725877 http://habrahabr.ru/blogs/infosecurity/27152/#comment_725877 Сеансовый ключ ОБЯЗАН быть уникальным, иначе злоумышленник - идиот.
Ключ генерируется случайно для каждого файла, смешивается с солью, а после шифрования файла, сам шифруется открытым ключом RSA (который находится в Readme). После этого, сеансовый ключ для жертвы абсолютно бесполезен и может храниться в открытом виде. Скорее всего он дописывается в начало или конец каждого зашифрованного файла. Плюс, возможно, еще в начале файла ставится метка, что файл зашифрован.

Если жертва отсылает Readme злоумышленнику, то он запросто находит у себя пару к присланному открытому ключу (как известно, ключи RSA генерируются только парой), запихивает этот ключ в утилиту расшифрования и высылает жертве.

Утилита, найдя файл (скорее всего по метке), извлекает из него зашифрованный сеансовый ключ, расшифровывает его закрытым ключом и расшифровывает файл. Все!]]> Wed, 25 Jun 2008 07:07:01 GMT Yeah http://habrahabr.ru/blogs/infosecurity/27152/#comment_725700 http://habrahabr.ru/blogs/infosecurity/27152/#comment_725700 если соль берется из шифруемого файла, файл шифруется по RC4, ключ шифрования шифруется RSA, тогда для каждого файла ключ шифрования (я про симметричный) должен быть уникальным? В таком случае его нужно где-то хранить. А, насколько я знаю, на зараженных компьютерах в файлах Readme хранится один и тот же открытый ключ.]]> Wed, 25 Jun 2008 05:42:18 GMT ddefacto http://habrahabr.ru/blogs/infosecurity/27152/#comment_705264 http://habrahabr.ru/blogs/infosecurity/27152/#comment_705264 Tue, 17 Jun 2008 08:38:18 GMT Barmaleikin http://habrahabr.ru/blogs/infosecurity/27152/#comment_703998 http://habrahabr.ru/blogs/infosecurity/27152/#comment_703998 Mon, 16 Jun 2008 14:27:45 GMT kai http://habrahabr.ru/blogs/infosecurity/27152/#comment_703679 http://habrahabr.ru/blogs/infosecurity/27152/#comment_703679 Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak - последней версии опасного вируса-шантажиста Gpcode.
Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.
Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.
Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.
Однако в новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.
«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.

http://www.kaspersky.ru/news?id=20773275…

По-моему, Касперский сошёл с ума.]]> Mon, 16 Jun 2008 11:42:10 GMT Captcha http://habrahabr.ru/blogs/infosecurity/27152/#comment_694788 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694788 да и впечатление у меня сложилось не на пустом месте. Пиар - штука тонкая, а иногда и грязная. К тому же, я ничего не утверждаю. Лишь предпологаю.]]> Wed, 11 Jun 2008 13:06:47 GMT yangus http://habrahabr.ru/blogs/infosecurity/27152/#comment_694662 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694662 Но также верно что "даже если вы параноик, это не значит что за вами не следят" ;)]]> Wed, 11 Jun 2008 12:15:19 GMT v1000 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694660 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694660 другой вопрос - что даст сама возможнось "взламывать" 1024 битный ключ?
Ну разве что сам Касперский придумал новую технологию шифрования и метит на место RSA ;)]]> Wed, 11 Jun 2008 12:14:03 GMT v1000 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694617 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694617 Wed, 11 Jun 2008 11:56:39 GMT fzn7 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694561 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694561 Wed, 11 Jun 2008 11:37:34 GMT scamp http://habrahabr.ru/blogs/infosecurity/27152/#comment_694401 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694401 Wed, 11 Jun 2008 10:46:52 GMT Minimall http://habrahabr.ru/blogs/infosecurity/27152/#comment_694340 http://habrahabr.ru/blogs/infosecurity/27152/#comment_694340 Даже удалённые данные можно восстановить. Так что, этот вирус - явная будущая тенденция вредоносного ПО.]]> Wed, 11 Jun 2008 10:34:03 GMT TeiSinTai http://habrahabr.ru/blogs/infosecurity/27152/#comment_693853 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693853 Wed, 11 Jun 2008 07:28:29 GMT vilgeforce http://habrahabr.ru/blogs/infosecurity/27152/#comment_693798 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693798 Wed, 11 Jun 2008 07:04:16 GMT dab512 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693757 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693757 Кроме того, либо Вы невнимательно читали, либо вообще не читали: данные не могут шифроваться алгоритмом RSA (это слишком долго). Для шифрования данных используется RC4 - вот для него ключ и находится в памяти.
Причем секретный ключ RSA и злоумышленника один, но секретный ключ RC4 генерируется для каждой машины отдельно (и, как предполагали люди в комментах он используется в сочетании с солью, получаемой из шифруемого файла - таким образом сеансовый ключ для каждого файла уникален). Искать сеансовые ключи - бред, ломать RSA - бред, хоть и меньший (это позволит расшифровать все данные, зашифрованные на текущий момент, но не спасет в случае смены ключа злоумышленником). Утилита, которая будет искать в памяти мастер ключ RC4 на мой взгляд самая перспективная идея.]]> Wed, 11 Jun 2008 06:42:46 GMT Yeah http://habrahabr.ru/blogs/infosecurity/27152/#comment_693722 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693722 Wed, 11 Jun 2008 06:24:12 GMT Sulako http://habrahabr.ru/blogs/infosecurity/27152/#comment_693712 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693712 Wed, 11 Jun 2008 06:19:07 GMT develop7 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693682 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693682 Зашифровать можно, расшифровать, даже зная ключ которым все шифровалось - нельзя.
Нужен секретный ключ, который имеется только у злоумышленника и никак не в оперативной памяти.
Хотя, если вам известен быстрый алгоритм разложения больших чисел на простые множители... всех криптографов в мире хватит удар :)]]> Wed, 11 Jun 2008 05:57:33 GMT Sulako #comment_693675 #comment_693675 Зачем Касперский так усиленно лезет в криптографию - для меня пока загадка.

Надо юзать Гугол:

"КАСПЕРСКИЙ ЕВГЕНИЙ ВАЛЕНТИНОВИЧ
руководитель антивирусных исследований Лаборатории Касперского

Родился 4 октября 1965 в Новороссийске. В 1987 окончил Институт криптографии, связи и информатики при Высшей школе КГБ, работал в многопрофильном НИИ. В 1989 ушел из НИИ. С 1991 по 1997 работал в НТЦ КАМИ, где вместе с группой единомышленников развивал антивирусный проект АУР. В 1997 стал одним из основателей Лаборатории Касперского. "

Наверно, сам Касперский и написал этот "вирус", чтобы повысить маржу и капитализацию :)]]> Wed, 11 Jun 2008 05:53:38 GMT karma http://habrahabr.ru/blogs/infosecurity/27152/#comment_693653 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693653
Если все так, как вы говорите, то никакого дешифратора не может существовать.]]> Wed, 11 Jun 2008 05:34:10 GMT Gangsta http://habrahabr.ru/blogs/infosecurity/27152/#comment_693593 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693593 Wed, 11 Jun 2008 04:34:33 GMT kelevra http://habrahabr.ru/blogs/infosecurity/27152/#comment_693569 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693569 Wed, 11 Jun 2008 03:44:07 GMT habrauser http://habrahabr.ru/blogs/infosecurity/27152/#comment_693199 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693199 Tue, 10 Jun 2008 20:19:43 GMT ganzer http://habrahabr.ru/blogs/infosecurity/27152/#comment_693166 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693166 Tue, 10 Jun 2008 19:59:18 GMT Yeah http://habrahabr.ru/blogs/infosecurity/27152/#comment_693075 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693075 >выложит дешифратор в сеть, то вся криптография пойдет по бороде
Позвольте не согласиться - приведу цитату из форума Касперского:
"Потому что данные на каждом компьютере шифруются с уникальным ключом, и ключ для одной системы не будет работать при расшифровке данных на другой системе. Поэтому этот вариант бесполезен..."
По этой же причине нет смысла в прямом переборе - потратив 5 лет работы суперкомпьютера, получится излечить лишь одну конкретную систему.
Этот гад (или группа гадов) очень хорошо все продумали!]]> Tue, 10 Jun 2008 19:23:39 GMT fedor1999 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693009 http://habrahabr.ru/blogs/infosecurity/27152/#comment_693009
Подбор ключа - это частный случай.

Хотя мне вот, например, интересно. Злоумышленники предлагают дешифратор за какие-то деньги. Если им кто-нибудь заплатит и выложит дешифратор в сеть, то вся криптография пойдет по бороде. Какой смысл тогда продавать дешифратор? С точки зрения злоумышленников надо восстанавливать файлы за деньги, но если файлов будет очень много, то как это сделать, имея только один почтовый ящик на yahoo?]]> Tue, 10 Jun 2008 19:03:32 GMT Gangsta http://habrahabr.ru/blogs/infosecurity/27152/#comment_692958 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692958 Tue, 10 Jun 2008 18:36:18 GMT keir http://habrahabr.ru/blogs/infosecurity/27152/#comment_692934 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692934 Ну их, эти теги: http://forum.kaspersky.com/index.php?showtopic=71903]]> Tue, 10 Jun 2008 18:26:08 GMT fedor1999 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692920 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692920 Tue, 10 Jun 2008 18:20:27 GMT Barmaleikin http://habrahabr.ru/blogs/infosecurity/27152/#comment_692919 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692919 Tue, 10 Jun 2008 18:19:52 GMT korynd #comment_692910 #comment_692910 Появится точно такой же вирус с другим открытым ключом. И че? опять будут брутфорсить? :)
Мда... Одно из двух: или там мудаки или "PR для дураков". Зная сию "команду", могу предположить, что больше похоже на второе...]]> Tue, 10 Jun 2008 18:16:49 GMT voyt http://habrahabr.ru/blogs/infosecurity/27152/#comment_692908 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692908 Tue, 10 Jun 2008 18:16:15 GMT fzn7 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692895 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692895 На форуме кашмарского предлагают воспользоваться различными Recovery-утилитами, которые восстанавливают вроде бы как не затертые на физическом уровне файлы (на физическое удаление нужно время, которого у вируса нет).
Таким образом, часть потерянной информации можно восстановить, главное - в случае заражения - не выключайте и не перезагружайте компьютер (иначе разжимания своп-файла могут затереть данные), а запустите с флешки или CD софт для восстановления удаленных данных.

Ради этого поста пришлось зарегистрироваться на Хабре :)]]> Tue, 10 Jun 2008 18:11:22 GMT fedor1999 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692840 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692840 Предложение ЛК вообще считаю полным бредом - ломать ключи RSA означает только смешить злоумышленника. Он завтра сменит все ключи и пиши пропало.]]> Tue, 10 Jun 2008 17:45:30 GMT Yeah http://habrahabr.ru/blogs/infosecurity/27152/#comment_692812 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692812 Кстати, в форуме ЛК указывается именно RC4. Шифровать RSA просто глупо - скорость слишком низкая.
Кстати, скорость RC4, наверное, самая большая среди известных систем шифрования с закрытым ключем (только TEA может его обогнать, но он не так распространен).

На самом деле у меня есть следующая идея:
Зачем ломать систему шифрования, если можно пойти в обход? Если антивирусу доступен контроль над памятью, регистрами процессора, то можно просто дампить все данные процесса вируса и таким образом ловить ключ RC4 напрямую в памяти в процессе генерирования.
Думаю ЛК таким путем и пойдет.]]> Tue, 10 Jun 2008 17:30:27 GMT Yeah http://habrahabr.ru/blogs/infosecurity/27152/#comment_692757 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692757 Tue, 10 Jun 2008 16:53:50 GMT peppernick http://habrahabr.ru/blogs/infosecurity/27152/#comment_692702 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692702
Меня смущает, что о ключе RC4 ничего не сказано, ни битность, ни способ генерации. Неужели никак не могут отреверсить злосчастный вирус..]]> Tue, 10 Jun 2008 16:19:39 GMT stab http://habrahabr.ru/blogs/infosecurity/27152/#comment_692696 http://habrahabr.ru/blogs/infosecurity/27152/#comment_692696 Tue, 10 Jun 2008 16:17:02 GMT kuzya555