Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 66.

«Лаборатория Касперского» сообщает о появлении опасного вируса-шантажиста

  1. #1
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782

    Exclamation «Лаборатория Касперского» сообщает о появлении опасного вируса-шантажиста

    «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak.


    Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.


    Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.


    «Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.


    До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.


    После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
    На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит.


    Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.


    Аналитики «Лаборатории Касперского» продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.


    К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:

    «Your files are encrypted with RSA-1024 algorithm.
    To recovery your files you need to buy our decryptor.
    To buy decrypting tool contact us at: ********@yahoo.com»


    «Лаборатория Касперского» настоятельно рекомендует пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.


    Сотрудники «Лаборатории Касперского» приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.


    Кроме того, пользователям ни в коем случае не следует идти на поводу у киберпреступников и выплачивать им требуемый выкуп, так как это мотивирует их продолжить свою преступную деятельность и совершенно не гарантирует жертве получения дешифратора.
    Последний раз редактировалось ALEX(XX); 07.06.2008 в 12:27.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Первая ласточка
    http://forum.kaspersky.com/index.php?showtopic=71367
    Your files are encrypted with RSA-1024 algorithm.
    To recovery your files you need to buy our decryptor.
    To buy decrypting tool contact us at: saveinfo89@yahoo.com

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Что интересно, первая ласточка на форум Доктора прилетела почти в то же время...
    ---
    С уважением,
    Borka.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Здесь тоже: http://virusinfo.info/showthread.php?p=235505

    Короче - тут только вирусные аналитики помогут, посторонние тулзы пока бессильны.
    Напишите нам на email stopgpcode@kaspersky.com и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли.

    P.S. Форумчане, просьба к вам - при появлении новых пострадавших - сразу отправляйте на stopgpcode@kaspersky.com
    логи собирать не надо.
    Добавлено через 1 минуту

    P.S. Обращение на ВИ, судя по всему, было первое (2 июня)
    P.P.S. Адреса злоумышленника, кстати, разные.
    Последний раз редактировалось DVi; 05.06.2008 в 19:21. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    10.10.2007
    Адрес
    Украина г.Киев
    Сообщений
    31
    Вес репутации
    34
    А какими путями происходит заражение данным зловредом?

    P.S. В процессе написания диплома, не хотелось бы одним прекрасным утром обнаружить все доковские файлы зашифрованными.
    Штудент :D

  7. #6
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от Annihilator Посмотреть сообщение
    P.S. В процессе написания диплома, не хотелось бы одним прекрасным утром обнаружить все доковские файлы зашифрованными.
    "Бэкапы рулят!" (с)
    ---
    С уважением,
    Borka.

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Цитата Сообщение от borka Посмотреть сообщение
    "Бэкапы рулят!" (с)
    +1

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Достачно ли прав ограниченного юзера, или только под админом работает? ( в описании не указано, а очень интересно узнать )

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Цитата Сообщение от drongo Посмотреть сообщение
    Достачно ли прав ограниченного юзера, или только под админом работает? ( в описании не указано, а очень интересно узнать )
    Он шифрует документы. Соответственно - прав пользователя ему вполне хватает.

  12. #11
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от Гриша Посмотреть сообщение
    В чем смысл рекомендации "В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет." ?

    Добавлено через 12 минут

    Цитата Сообщение от DVi Посмотреть сообщение
    Он шифрует документы.
    Скажем так, пользовательские файлы.
    Кстати, полный спектр архивов, но почему-то без ZIP'а...
    Последний раз редактировалось borka; 06.06.2008 в 00:56. Причина: Добавлено
    ---
    С уважением,
    Borka.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Цитата Сообщение от borka Посмотреть сообщение
    В чем смысл рекомендации "В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет." ?
    Скорее всего зверь самоудаляющийся. Важно поймать саму его тушку.

  14. #13
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от DVi Посмотреть сообщение
    Скорее всего зверь самоудаляющийся. Важно поймать саму его тушку.
    Какая тушка-то, если написано: "По окончанию работы вирус создает VBS-файл, который удаляет основное тело вируса с компьютера и выводит на экран MessageBox:" ? (выделено мной). То есть вывод сообщения означает, что виря на компьютере нет, а все файлы по списку закриптованы.

    Кстати, нужно "По окончании работы".
    ---
    С уважением,
    Borka.

  15. #14
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    0
    что-то известно о способах распространения вируса: email, зараженные сайты?

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Цитата Сообщение от borka Посмотреть сообщение
    Какая тушка-то, если написано: "По окончанию работы вирус создает VBS-файл, который удаляет основное тело вируса с компьютера и выводит на экран MessageBox:" ? (выделено мной). То есть вывод сообщения означает, что виря на компьютере нет, а все файлы по списку закриптованы.

    Кстати, нужно "По окончании работы".
    Борис, вероятно, Вы знаете о существовании утилит восстановления удаленных файлов?
    Кроме того, описание действий пользователя непосредственно перед заражением может дать информацию об источнике распространения зловреда (название сайта, имя файла запускавшейся программы).
    Последний раз редактировалось DVi; 06.06.2008 в 08:52.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704
    "Лаборатория Касперского" выявила новую версию "вируса-шантажиста" Gpcode (Virus.Win32.Gpcode.ak). Этот вирус шифрует пользовательские файлы с расширениями .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др. при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит: "Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com"
    До сих пор экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.
    До сих пор максимальная длина ключа RSA, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 бит.
    Сейчас специалисты "Лаборатории" вынуждены констатировать, что вскрыть ключ длиной в 1024 бита им не удаётся.
    Пользователям, обнаружившим вышеприведённое сообщение на своих компьютерах, рекомендовано обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.
    Сотрудники "Лаборатории Касперского" приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.
    Платить же шантажистам не рекомендуется, поскольку никаких гарантий получения жертвой дешифратора нет и быть не может.

    securitylab.ru
    Последний раз редактировалось ALEX(XX); 06.06.2008 в 16:50.
    Left home for a few days and look what happens...

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    ALEX(XX), найдите 10 отличий оригинальной статьи от того, что Вы скопировали с секлаба. Кроме изящно подправленного заголовка...
    Секлаб указывает источник на Компьютерре, где та же статья идет под заголовком "Вирус-шантажист Gpcode шифрует пользовательские данные". Ой не к добру эта самодеятельность секлаба.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для maXmo
    Регистрация
    21.09.2004
    Сообщений
    1,411
    Вес репутации
    288
    Цитата Сообщение от DVi Посмотреть сообщение
    ALEX(XX), найдите 10 отличий оригинальной статьи от того, что Вы скопировали с секлаба. Кроме изящно подправленного заголовка...
    660 байт.

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147

  21. #20
    Junior Member Репутация
    Регистрация
    02.06.2008
    Адрес
    Russia, Kaliningrad; Moscow
    Сообщений
    2
    Вес репутации
    32
    На официальном форуме Лаборатории Касперского открыт специальный подфорум: http://forum.kaspersky.com/index.php?showforum=90

Страница 1 из 4 1234 Последняя

Похожие темы

  1. «Лаборатория Касперского» сообщает о патентовании аппаратного антивируса
    От Гриша в разделе Новости компьютерной безопасности
    Ответов: 18
    Последнее сообщение: 17.02.2010, 11:05
  2. «Лаборатория Касперского» предупреждает о появлении новой версии червя Kido
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 16
    Последнее сообщение: 14.03.2009, 00:11
  3. «Лаборатория Касперского» сообщает об обнаружении червя, заражающего аудиофайлы
    От Гриша в разделе Новости компьютерной безопасности
    Ответов: 15
    Последнее сообщение: 11.09.2008, 12:19
  4. ЛК предупреждает о появлении вируса-шантажиста
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 17.07.2007, 10:10
  5. Ответов: 0
    Последнее сообщение: 30.03.2006, 14:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01056 seconds with 27 queries