18+ Virus.Win32.Gpcode.ak - Форум проекта Ступино News
сегодня Четверг, 19.Октябрь.2017, 04:45                        
                         .                        
  Четверг, 19.Октябрь.2017, 04:45
[Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Форум » Компьютерный мир » АНТИвирусный мир » Virus.Win32.Gpcode.ak (Вирусная эпидемия)
Virus.Win32.Gpcode.ak
StuPPviДата: Пятница, 06.Июнь.2008, 20:13 | Сообщение # 1
Administrator
Группа: Администраторы
Сообщений: 233
Награды: 0
Репутация: 1
Статус: отсутствует
«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak.

Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.

Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.

«Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.

До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.

На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит. Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.

Аналитики «Лаборатории Касперского» продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.

К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:
«Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com»

Gpcode вернулся

Виталий Камлюк
Наша антивирусная лаборатория обнаружила новую версию опасного вируса, известного как Gpcode. Вирус шифрует пользовательские файлы из широкого набора расширений: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др.

Детектирование нового вируса Virus.Win32.Gpcode.ak было добавлено в антивирусные базы вчера, 4 июня 2008 года. На данный момент расшифровать поражённые файлы не представляется возможным, поскольку вирус использует криптостойкий алгоритм шифрования RSA с длинной ключа 1024 бита.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

На этом принципе основан вирус Gpcode. Он шифрует пользовательские файлы при помощи имеющегося у него открытого ключа, находящегося в теле вируса. Расшифровать файлы затем может лишь владелец секретного ключа, т.е. автор вредоносной программы Gpcode.

«Лаборатория Касперского» уже сталкивалась с вирусом Gpcode ранее (см. статью «Шантажист»), и нам удавалось получить секретный ключ путем детального криптоанализа имеющихся данных. До сих пор максимальная длина ключа RSA, которую нам удалось «взломать» составляла 660 бит, и взлом был возможен благодаря неосторожным допущениям автора в реализации алгоритма шифрования. Автор выждал почти 2 года прежде чем создать новую усовершенствованную версию вируса с RSA-шифрованием, и эта новая версия больше не содержит старых ошибок.

При обнаружении первых версий Gpcode на основе RSA в 2006 году мы предупреждали, что в случае аккуратного использования RSA вирусописателем, мы не сможем помочь пользователям, файлы которых окажутся зашифрованы. Шифрование файлов таким образом равносильно их несанкционированному копированию на компьютер преступника с удалением с компьютера пользователя. В таких случаях помочь могут лишь уполномоченные правоохранительные органы.

После шифрования файлов вирус оставляет текстовое сообщение рядом с зашифрованными файлами, в котором говорится:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com

К сожалению, пути распространения вируса пока не определены, поэтому мы рекомендуем включить все имеющиеся у вас компоненты защиты от вредоносных программ.

ВНИМАНИЕ! Если вы стали свидетелем такого сообщения на своём компьютере:

...То, скорее всего, он был атакован Gpcode.ak. В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет.

Напишите на email stopgpcode@kaspersky.com и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли. Мы постараемся помочь вам вернуть зашифрованные данные.

Несмотря на трудность сложившейся ситуации, наши аналитики продолжат анализировать вирус и искать подходы для дешифровки файлов без секретного ключа.

Прикрепления: 7475576.png(13Kb)
 
StuPPviДата: Пятница, 06.Июнь.2008, 20:14 | Сообщение # 2
Administrator
Группа: Администраторы
Сообщений: 233
Награды: 0
Репутация: 1
Статус: отсутствует
«Лаборатория Касперского» приглашает экспертов и специалистов в области криптографии к участию в проекте «Stop Gpcode!»

4 июня 2008 года специалистами ЛК был обнаружен новый вариант опасной вредоносной программы – шифровальщика «Gpcode».

Для шифрования файлов новый вариант Gpcode использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA длиной 1024 бит, содержащимся в теле вируса.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение, достаточно иметь открытый ключ. Расшифровать зашифрованное сообщение можно, только располагая секретным ключом.

До сих пор все попытки факторизации ключей RSA останавливались на отметке 663 бит, решение этой задачи потребовала трехмесячной работы кластера из 80-и компьютеров.

«Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных. Максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 бит.

Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей и фундаментальной криптографической проблемой. По нашим оценкам, на взлом подобного ключа требуется примерно год работы пятнадцати миллионов современных компьютеров.

Мы не обладаем подобными вычислительными мощностями.

«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы.

Мы считаем задачу «взлома» ключа RSA-1024, который использовал злоумышленник, первым в истории случаем, который требует объединения накопленных знаний и существующих вычислительных ресурсов для достижения практической и благородной цели, а не только для академических исследований или хакерства.

Мы публикуем открытые ключи, использованные автором Gpcode.

Один ключ используется для шифрования в операционных системах Windows XP и выше.

Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus :
c0c21d693223d68fb573c5318982595799d2d295ed37da38be41ac8486ef900a
ee78b4729668fc920ee15fe0b587d1b61894d1ee15f5793c18e2d2c8cc64b053
9e01d 088e41e0eafd85055b6f55d232749ef48cfe6fe905011c197e4ac6498c0
e60567819eab1471cfa4f2f4a27e3275b62d4d1bf0c79c66546782b81e93f85d

Второй – в Windows ранних версий (до Windows XP).

Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
d6046ad6f2773df8dc98b4033a3205f21c44703da73d91631c6523fe73560724
7cc9a5e0f936ed75c75ac7ce5c6ef32fff996e94c01ed301289479d8d7d708b2
c030fb79d225a7e0be2a64e5e46e8336e03e0f6ced482939fc571514b8d7280a
b5f4045106b7a4b7fa6bd586c8d26dafb14b3de71ca521432d6538526f308afb

Эксп онента для обоих ключей: 0x10001 (65537).

Этой информации достаточно для того, чтобы специалисты смогли приступить к факторизации ключа.

Значительную помощь в решении задачи может оказать создание специальной утилиты для проведения факторизации.

«Лаборатория Касперского» готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум «Stop Gpcode».

 
StuPPviДата: Пятница, 06.Июнь.2008, 21:41 | Сообщение # 3
Administrator
Группа: Администраторы
Сообщений: 233
Награды: 0
Репутация: 1
Статус: отсутствует
Автор GPCode: Daniel Robertson (псевдоним).

Переписка с автором:
Да не вопрос.
Только вот не надо о детях-сиротах, расскажете эту сказку кому-нибудь другому.
Вот инфа от Касперского про этот вирус
http://www.viruslist.com/ru/alerts?alertid=203698714
В двух словах, нет другого способа расшифровать файлы, кроме как купить у нас декриптор.
Цена декриптора 100 USD. Для получения декриптора купите WebMoney карту (http://www.webmoney.ru/rus/addfunds/wmz/aboutcards.shtml) номиналом 100 WMZ и сообщите нам ее реквизиты (номер и код). Также пошлите уникальный ключ шифрования, который записан в любом файле !_READ_ME_!.txt. Эти файлы находятся в каждой папке с зашифрованными файлами.
После этого мы вышлем вам ваш декриптор.
Для проверки серьезности наших обязательств можете послать нам один любой зашифрованный файл, мы его расшифруем и вышлем вам расшифрованный оригинальный файл. Вместе с файлом обязательно пошлите ваш ключ шифрования, по нему осуществляется изготовление декриптора.

Мы в свою очередь гарантирум полное восстановление всей зашифрованной информации.

 
StuPPviДата: Пятница, 13.Июнь.2008, 19:34 | Сообщение # 4
Administrator
Группа: Администраторы
Сообщений: 233
Награды: 0
Репутация: 1
Статус: отсутствует
Восстановление файлов после атаки Gpcode.ak

Зашифрованные Gpcode.ak файлы, не имея секретного ключа, в настоящее время расшифровать невозможно. Тем не менее, мы нашли оптимальное решение для их восстановления.

Дело в том, что при шифровании файлов Gpcode.ak сначала создает новый файл рядом с тем, который он собирается шифровать. В этот новый файл он записывает зашифрованные данные исходного файла, после чего исходный файл удаляет.

Как известно, существует возможность восстановить удаленные файлы, если данные на диске не были сильно изменены. Именно поэтому мы с самого начала рекомендовали пострадавшим пользователям не перезагружать компьютер и связаться с нами, а тем, кто к нам обратился, советовали использовать различные утилиты для восстановления удаленных файлов с диска.К сожалению, почти все утилиты для восстановления удаленных файлов распространяются на основе shareware лицензий. Мы искали лучшее - с точки зрения эффективности и доступности для пользователей - решение, которое могло бы помочь им восстановить файлы, удаленные Gpcode.ak после шифрования. И нашли его.

Это замечательная бесплатная утилита PhotoRec, созданная Cristophe Grenier и распространяющаяся на основе лицензии GPL.
Изначально утилита создавалась как средство для восстановления графических файлов (видимо, отсюда и ее название PhotoRec - сокращение от Photo Recovery). Затем ее функционал был расширен, и в настоящее время она может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы.

Полный список поддерживаемых форматов можно найти тут:
Ссылка на официальную страницу утилиты PhotoRec: http://www.cgsecurity.org/wiki/PhotoRec
Утилита PhotoRec поставляется в составе пакета TestDisk.
Ссылка на последнюю версию пакета TestDisk с утилитой PhotoRec: http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip

Следует отметить, что утилита PhotoRec отлично справляется со своей задачей — восстановлением данных файлов на выбранном разделе. Однако затем возникает трудность восстановления точных имен и путей файлов. Здесь мы решили помочь пользователям и разработали небольшую бесплатную программу Stopgpcode.

Мы рекомендуем пострадавшим от действий Gpcode.ak пользователям, вместо того, чтобы платить злоумышленнику, отправиться на http://www.cgsecurity.org/wiki/Donation и внести свой вклад в добровольные пожертвования автору замечательной утилиты PhotoRec!

codelancer Гостев Александр

Прикрепления: stopgpcode_tool.zip(71Kb)
 
StuPPviДата: Пятница, 13.Июнь.2008, 19:44 | Сообщение # 5
Administrator
Группа: Администраторы
Сообщений: 233
Награды: 0
Репутация: 1
Статус: отсутствует
Data recovery after Gpcode.ak attack

Now it’s impossible to decrypt files encrypted by Gpcode.ak virus without private key. Nevertheless we’ve found optimum solution on files’ recovery.

The matter is that Gpcode.ak creates a new file near a file which it is going to encrypt .
It writes encrypted data from source file to this new file and then deletes source file.

As is known it’s possible to recover deleted files if there were not any significant data changes on hard drive. For this reason we recommended not to reboot system and to contact us for those users who had been attacked by virus. And we advised to use data recovery software those users who contacted us. Unfortunately, almost all such utilities are distributed with shareware license. We have been looking for the best – from the point of view of accessibility for users – solution to recover files deleted by Gpcode.ak after encryption. And we’ve found it.

This solution is wonderful free utility PhotoRec, created by Cristophe Grenier and which is distributed with GPL license.

Initially, the utility was created as a tool for graphic files’ recovery (probably, that’s why it called PgotoRec – in abbreviated form Photo Recivery) Then some other abilities were added. Now it’s possible to recover Microsoft Office documents, executable files, PDF and TXT documents and different file archives with this utility

You can find full list of supported formats here
Link to official webpage of PhotoRec utility: http://www.cgsecurity.org/wiki/PhotoRec
PhotoRec utility is distributed as a part of TestDisk pack.
Link to The latest version of TestDisk pack with PhotoRec utility: http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip

It’s necessary to say that PhotoRec utility recovers data on chosen partition excellently.
But there is some difficulties with recovery of files’ names and paths.

We developed special StopGpcode tool to help users with files’ names and paths recovery:

We recommend to those users who was attacked by Gpcode,ak go to http://www.cgsecurity.org/wiki/Donation and make donation instead of paying moneys to malefactor.

Прикрепления: stopgpcode_tool.zip(71Kb)
 
StuPPviДата: Четверг, 26.Июнь.2008, 12:28 | Сообщение # 6
Administrator
Группа: Администраторы
Сообщений: 233
Награды: 0
Репутация: 1
Статус: отсутствует
Восстановление файлов с помощью утилиты StopGpcode2

Некоторые файлы, зашифрованные Gpcode.ak, могут быть расшифрованы без использования секретного (private) RSA-ключа. Для этого будут использованы файлы, для которых имеется незашифрованная версия.

Незашифрованные версии файлов могут появиться в результате использования утилиты PhotoRec (см. выше). Кроме того, незашифрованные файлы могут оказаться в хранилище резервного копирования или на съемном носителе (например, при сохранении фотографий с фотокамеры на жесткий диск компьютера, который был атакован Gpcode, на карте памяти в камере могут остаться исходные файлы фотографий). Незашифрованные файлы могут также храниться где-нибудь на сетевом ресурсе, до которого не добрался вирус Gpcode (например, фильмы и видеоклипы — на общедоступном сервере).

Детальная информация о применении утилиты опубликована в описании вредоносной программы Virus.Win32.Gpcode.ak http://www.viruslist.com/ru....gpcode2

Дополнительная информация о восстановлении файлов с помощью утилиты StopGpcode2 опубликована в Веблоге "Лаборатории Касперского" http://www.viruslist.com/ru/weblog?weblogid=207758708

 
Форум » Компьютерный мир » АНТИвирусный мир » Virus.Win32.Gpcode.ak (Вирусная эпидемия)
Страница 1 из 11
Поиск:

Версия 2.0 Обо всех замеченных ошибках просьба сообщать на stuppvir@mail.ru
 
© 2007-2017 Ступино News
 
 
Условия использования материалов Ступино News
 
Яндекс цитирования
Rambler's Top100

 Сайт управляется системой uCoz