http://www.picamatic.com/show/2008/06/05/08/394270_490x324.jpg

"Лаборатория Касперского" сообщила о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak. Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.

До сих пор максимальная длина ключа RSA, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.

На данный момент расшифровать пострадавшие
файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит. Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.

Аналитики "Лаборатории Касперского" продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.

К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:

"Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at:
********@yahoo.com"


Эксперты "Лаборатории Касперского" рекомендовали пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

Источник: cybersecurity.ru

Зачет)
Ну собственно пусть уж Каспер потратится и купит ключик)

Хмм идея очень занятная
+1 за смекалку
Видел ток каторые грозили удлалить всё нах если не заплатиш, а шифровать это интересно.

До сих пор максимальная длина ключа Rsa, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 байт.
660 байт = 5280 бит .... в лаборатории касперского или изобрели квантовый компьютер :) или журналистам опять лишь бы *****нять что-нить...

Веблог «Лаборатории Касперского» (http://www.viruslist.com/ru/weblog) : До сих пор максимальная длина ключа RSA, которую нам удалось «взломать» составляла 660 бит, и взлом был возможен благодаря неосторожным допущениям автора в реализации алгоритма шифрования. Автор выждал почти 2 года прежде чем создать новую усовершенствованную версию вируса с RSA-шифрованием, и эта новая версия больше не содержит старых ошибок.

мама родная, я могбы восхищаться им еслиб не боялсяб етого вируса )

Правда а че сложного в том чтобы купить дешевратор разобрать его и выяснить генерацию ключа ?

Правда а че сложного в том чтобы купить дешевратор разобрать его и выяснить генерацию ключа ?
это Rsa , принцип работы всем известен, кури мануалы :) если лень тупо влезть в википедию, то верь на слово: без ключа ты ничего не расшифруешь...

с учетом того что ключа два - одним шифруется инфа (открытым), другой нужен для дешифровки(закрытый), то тут два варианта - или существует только 1 пара ключей (что маловероятно... или штучно несколько (а может и сотня) билдов с разными ключами) или вир генерирует связку ключей сам, но тогда он должна посылать закрытый ключ автору программы, и из "дешифратора" ты вытащишь ключ только от своей инфы...

короче даже теоретически "дешифратор" не сможет сгенерить тебе закрытый ключ, по тому открытому которым все зашифровано...

кстати идея с 1 ключем рабочая - тогда в дешифраторе не будет закрытого ключа, а он будет загружаться дешифратором через защищенное соединение из инета , причем этот закрытый ключ, который дешифратор будет загружать из инета, можно зашифровать ключем, созданным специально для дешифратора, а в инете, в базе будут лежать копии закрытого ключа (который нужен для расшифровки инфы) , зашифрованные индивидуальными ключами дешифраторов ! :) после того как дешифратор скачивает с базы нужную копию, она из базы удаляется...
получаем - копии закрытого ключа зашифрованы, т.е. если базу найдут и вскроют - толку не будет, дешифратор можно использовать только 1 раз и разбирать дешифратор смысла нет, т.к. нужный ключ в нем не хранится :)
сорри за неровный почерк, кому непонятно - могу объяснить в картинках :)

идея конечно достойна внимания))

Зачет)
Ну собственно пусть уж Каспер потратится и купит ключик)
Ага :) И дешифратор сделают, спрос на ключи каспера порастут ))

круто) автору +
главное самому это дело не поймать)

До сих пор максимальная длина ключа RSA, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 байт.660 байт это круто, да :)

Продолжение

09.06.2008

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, объявляет о запуске международной инициативы «Stop Gpcode».

Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak - последней версии опасного вируса-шантажиста Gpcode.

Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.

Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.

Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.

Однако в новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.

«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.

Для координации действий между участниками инициативы создан специальный форум «Stop Gpcode».

сайт касперского

да. зачётный вирус.
идея конечно заслуживает уважения

угу, оригинальный подход. при этом навряд-ли там что-то сложное в самом вирусе, главное проникнуть, зашифровать файлы и оставить сообщение после себя и работа сделана, больше смысла оставаться на компе нету

Да идея-то на самом деле баянистая, были уже вирусы шифрующие файлы на винте.
Но тут наверное самая грамотная реализация этой идеи.

каждый файл зашифровывается при помощи RC4 со своим ключом, потом список ключей и соответствующих путей к файлам также шифруется RC4 и хранится на компьютере жертвы. Ключ к списку зашифровывается RSA-1024, его и нужно отправить автору для получения декриптора. Благодаря такой схеме купленный для одной машины дешифратор не будет работать на другой.
Без всяких заморочек, элементарно и просто :)
кстати хз зачем в вирусе разные открытые ключи для ХР и для ранних версий до Windows XP...

да и непонятно почему первый раз использовался ключ в 660 бит и сейчас сразу не в 2048, а такой, который теоретически можно сломать, а потом добавить в свои базы лекарство...наводит на мысль?) только после взлома надо будет пересмотреть всю политику безопасности и отказаться от использования ключей в 1024 бита...

а возможно код вируса достать ???. Как я понял нужно реализовать 3 задачи:
1) узнать алгоритм по которуму генерируеться открытый ключ (тот который отсылаеться)
2) набрать дохренищу ключай от автара на соответсвующие открытые ключи
3) найти их закономерность

ЗЫ. чета мне кажеться для реализации 3 пункта нужно "нивъебинительное" количество покупных ключиков ибо 1024 бита ето не шутка и чтобы установить закономерность по теории вероятности нужна очень много выборок .

хммм прикольно но есть одно но Rsa довольно медленно шифрует а расшифровывает еще медленее. для того чтобы зашифровать файл размером 9 метров надо окло 20 минут. а расшифровать около 2 часов при длинне ключа 1024 бита

cupper, прочитай внимательно все посты, потом влезь в википедию и почитай про алгоритмы, потом почитай еще раз посты или хотябы подними глаза на пост, который выше твоего...включи моск...сделай выводы...

EST a1ien, для тебя задачка посложнее - поднять глаза не на пост вверх, а на целых два поста! но я думаю ты справишься...что там непонятного я не вижу...вроде понятно написано что файлы шифруются симметриком, ключи от каждого файла закидываются в 1 фаел, который апять же шифруется симметриком и только 1 ключ (от этого хранилища) шифруется открытым rsa ключем ...

[Paran0ik] да сори реально не заметил твоего поста.

ха прикольно, главное не поймать такой :)

еще один повод перейти на линукс

Гыгы, а потом разработчик сделает финт ушами (если конечно касперыч и ко таки придумают как за приемлимое время дешифровать Rsa-1024) и будет шифровать всё ключом в 2048 бит. Классный пример изощрённого садизма :))

У меня само название "вирус-шантажист" вызвает ржач.
Только идея то древняя... это ещё ХЗ сколько лет назад было... Тока там требовали на веб кошель сразу деньги...

Но идея до сих пор актуальна. Так что так...

What are they smoking at Kaspersky? (с) Брюс Шнайер (http://www.schneier.com/blog/archives/2008/06/kaspersky_labs.html)

"Лаборатория Касперского" проинформировала пользователей о возможности восстановления файлов после атаки вируса Gpcode.ak. Как сообщалось ранее, зашифрованные Gpcode.ak файлы, не имея секретного ключа, в настоящее время расшифровать невозможно. Тем не менее, найдено оптимальное решение для их восстановления.

Дело в том, что при шифровании файлов Gpcode.ak сначала создает новый файл "рядом" с тем, который он собирается шифровать. В этот новый файл он записывает зашифрованные данные исходного файла, после чего удаляет исходный файл.

Как известно, существует возможность восстановить удаленные файлы, если данные на диске не были сильно изменены. Именно поэтому эксперты "Лаборатории Касперского" с самого начала рекомендовали пострадавшим пользователям не перезагружать компьютер и связаться с ними, а обратившимся советовали использовать различные утилиты для восстановления удаленных файлов с диска. К сожалению, почти все утилиты для восстановления удаленных файлов распространяются на основе shareware-лицензий. Вирусные аналитики "Лаборатории Касперского" искали лучшее с точки зрения эффективности и доступности для пользователей решение, которое могло бы помочь восстановить файлы, удаленные Gpcode.ak после шифрования. Таким решением оказалась бесплатная утилита PhotoRec (http://www.cgsecurity.org/wiki/PhotoRec),
созданная Кристофом Гренье (Christophe Grenier) и распространяющаяся на основе лицензии GPL.

Изначально утилита создавалась как средство для восстановления графических файлов. Затем её функционал был расширен (http://www.cgsecurity.org/wiki/File_Formats_Recovered_By_PhotoRec), и в настоящее время она может восстанавливать документы Microsoft Office, исполняемые файлы, PDF- и TXT-документы, а также различные файловые архивы.

Утилита PhotoRec поставляется в составе последней версии пакета TestDisk (http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip).

Следует отметить, что утилита PhotoRec отлично справляется со своей задачей - восстановлением файлов на выбранном разделе. Однако затем возникает трудность восстановления точных имен и путей файлов. В "Лаборатории Касперского" для решения этой проблемы была разработана небольшая бесплатная программа StopGpcode (http://www.kaspersky.ru/downloads/tools/stopgpcode_tool.zip), которая позволяет вернуть оригинальные имена файлов и полные пути, по которым они находились.

16.06.2008
Источник: cybersecurity.ru

Лаборотории касперского однозначно + если конечно сам вирус не их рук дело!

Ахха... будем знать, если будем писать аналог, обязательно допишем функцию перезагрузки компа при успешном шифровании =))))
ЛООЛ!!!!!!!!!!!!!

Только вот!!!!!!!! Меня очень интересует один важнй момент.
А где вирус хранил тогда пароль\ключ, для шифровки ???
Если в самом себе, то в ЛК впринципе могли бы обнаружить его, и написать дешифратор, ну а если на сайте хакиря, то это уже коннект к инету, полутроян, и теряется вся актуальность... Если кто знает про эту схему напишите.

Для шифрования файлов вирус использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA (длиной 1024 бит), содержащимся в теле вируса.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

ps: если обьяснить на пальцах сначала файлы шифруются с помощью алгоритма RC4, так-как это быстрый алгоритм шифрования и можно быстрее все незаметно зашифровать. Потом ключ шифрования RC4 шифруется открытым ключом RSA .

Что это значит - "открытый ключ". Приведу пример: Вы купили сейф с ключами, с автозащелкой. Ключ оставляете себе, а открытый сейф даете другу. Чтобы другу что-либо спрятать в сейфе ему надо просто положить в него вещь и захлопнуть дверцу. А вот чтоб изьять - надо ваши ключи. Открытый сейф - это открытый ключ. А ключ к сейфу - это закрытый ключ, которые есть только у вирусописателя.

Возникают два вопроса: может стоить купить ключ, а потом распространить по всему инету и он подойдет ко всем файлам? хотя не думаю, вскорее всего у него в теле куча таких разных открытых ключей. И сам вирус просто рандомно из своей базы выбирает один из них.

И второе: стоит ли расшифровывать 1024-х битный rsa ключ? ведь файлы зашифрованны с помощью rc4 , который думаю не такой криптостойкий.

Для шифрования файлов вирус использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA (длиной 1024 бит), содержащимся в теле вируса.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.
Уже всё понятно, спасибо.
Кароче MS сами себе испекли очередной пирог.
И без всякого инета.

Оказалось, что если у пользователя имеется некоторое количество незашифрованных файлов и эти же файлы, зашифрованные Gpcode, то данные пары файлов (зашифрованный и соответствующий ему незашифрованный) могут помочь в восстановлении других файлов на атакованном компьютере. Именно этот подход использован в работе утилиты StopGpcode2.

http://images.kaspersky.com/ru/pictures/vlweblog/207758710.png

Откуда возьмутся незашифрованные файлы? Незашифрованные версии файлов могут появиться в результате использования утилиты PhotoRec. Кроме того, незашифрованные файлы могут оказаться в хранилище резервного копирования или на съемном носителе (например, при сохранении фотографий с фотокамеры на жёсткий диск компьютера, который был атакован Gpcode, на карте памяти в камере могут остаться исходные файлы фотографий). Незашифрованные файлы могут также храниться где-нибудь на сетевом ресурсе, до которого не добрался вирус Gpcode (например, фильмы и видеоклипы — на общедоступном сервере).

Однако гарантировать восстановления файлов мы не можем в силу специфики необходимых для применения метода требований, которые зависят от наличия у пользователя незашифрованных копий поражённых файлов и некоторых особенностей оборудования атакованной системы. Тем не менее, учитывая, что в ходе исследования нами были получены неплохие результаты (восстановление 80% зашифрованных файлов), мы предлагаем попробовать данный метод восстановления файлов отчаявшимся пользователям.

Чем больше пар файлов удастся найти, тем больше данных удастся восстановить.

(c) viruslist.com (http://www.viruslist.com/ru/weblog?weblogid=207758708), 24.06.2008

PandoraBox, смотри предыдущую страницу, эту новость, датированную 16.06.08, до тебя уже отписал krypt3r, в более развернутом варианте.. :)

И даже исходник аналогового виря есть ;)

На "ЗЛОЙ" ссылки постить не обиженно? Надеюсь...
Вот:
https://forum.zloy.org/showthread.php?t=59078

Если кому надо.

Очевидно, в теле вируса хранится таблица открытых Rsa-ключей, которыми он шифрует, а за деньги выдает соответствующие закрытые для расшифровки. Значит, достаточно купить у автора все закрытые ключи )))
Подозреваю, автор запустил в инет тысячи разных билдов с разными таблицами с десятками ключей в каждой, так что Лаборатории Касперского придется выложить круглую сумму, чтобы выкупить всю базу )))

Интересно а где можно взять это чудо (Gpcode), никто не знает ???

Интересно а где можно взять это чудо (Gpcode), никто не знает ???
Афтор явно писал под себя. Или ты имеешь ввиду билдер? Этого нету. Есть мой исходник аналогичного виря-шантажиста, ссылку смотри выше.

аффтор виря определенно знал что делал......

Главное себе такую гадость не поймать.

Очевидно, в теле вируса хранится таблица открытых Rsa-ключей, которыми он шифрует, а за деньги выдает соответствующие закрытые для расшифровки. Значит, достаточно купить у автора все закрытые ключи )))
Подозреваю, автор запустил в инет тысячи разных билдов с разными таблицами с десятками ключей в каждой, так что Лаборатории Касперского придется выложить круглую сумму, чтобы выкупить всю базу )))
https://forum.antichat.ru/showpost.php?p=726027&postcount=15 разве так сложно прочитать топик до того, как что-то в нем написать?