# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  «Лаборатория Касперского» сообщает о появлении опасного вируса-шантажиста

## Гриша

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak.


  Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.


  Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.


  «Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.


  До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.


  После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
  На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит.


 Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.


  Аналитики «Лаборатории Касперского» продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.


  К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:




> «Your files are encrypted with RSA-1024 algorithm.
> To recovery your files you need to buy our decryptor.
> To buy decrypting tool contact us at: ********@yahoo.com»




«Лаборатория Касперского» настоятельно рекомендует пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу [email protected], и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.


  Сотрудники «Лаборатории Касперского» приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.


  Кроме того, пользователям ни в коем случае не следует идти на поводу у киберпреступников и выплачивать им требуемый выкуп, так как это мотивирует их продолжить свою преступную деятельность и совершенно не гарантирует жертве получения дешифратора.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alex_Goodwin

Первая ласточка
http://forum.kaspersky.com/index.php?showtopic=71367



> Your files are encrypted with RSA-1024 algorithm.
> To recovery your files you need to buy our decryptor.
> To buy decrypting tool contact us at: [email protected]

----------


## borka

> Первая ласточка
> http://forum.kaspersky.com/index.php?showtopic=71367


Что интересно, первая ласточка на форум Доктора прилетела почти в то же время...

----------


## DVi

Здесь тоже: http://virusinfo.info/showthread.php?p=235505

Короче - тут только вирусные аналитики помогут, посторонние тулзы пока бессильны. 



> Напишите нам на email [email protected] и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли.
> 
> P.S. Форумчане, просьба к вам - при появлении новых пострадавших - сразу отправляйте на [email protected]
> логи собирать не надо.


*Добавлено через 1 минуту*

P.S. Обращение на ВИ, судя по всему, было первое (2 июня)
P.P.S. Адреса злоумышленника, кстати, разные.

----------


## Annihilator

А какими путями происходит заражение данным зловредом?

P.S. В процессе написания диплома, не хотелось бы одним прекрасным утром обнаружить все доковские файлы зашифрованными.  :Smiley:

----------


## borka

> P.S. В процессе написания диплома, не хотелось бы одним прекрасным утром обнаружить все доковские файлы зашифрованными.


"Бэкапы рулят!" (с)

----------


## DVi

> &quot;Бэкапы рулят!&quot; (с)


+1

----------


## Гриша

Описание http://www.viruslist.com/ru/viruses/...virusid=313444

----------


## drongo

Достачно ли прав ограниченного юзера, или только под админом работает? ( в описании не указано, а очень интересно узнать )

----------


## DVi

> Достачно ли прав ограниченного юзера, или только под админом работает? ( в описании не указано, а очень интересно узнать )


Он шифрует документы. Соответственно - прав пользователя ему вполне хватает.

----------


## borka

> Описание http://www.viruslist.com/ru/viruses/...virusid=313444


В чем смысл рекомендации "В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет." ?  :Unsure: 

*Добавлено через 12 минут*




> Он шифрует документы.


Скажем так, пользовательские файлы.
Кстати, полный спектр архивов, но почему-то без ZIP'а...

----------


## DVi

> В чем смысл рекомендации &quot;В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет.&quot; ?


Скорее всего зверь самоудаляющийся. Важно поймать саму его тушку.

----------


## borka

> Скорее всего зверь самоудаляющийся. Важно поймать саму его тушку.


Какая тушка-то, если написано: "По окончанию работы вирус создает VBS-файл, который *удаляет основное тело вируса с компьютера* и выводит на экран MessageBox:" ? (выделено мной). То есть вывод сообщения означает, что виря на компьютере нет, а все файлы по списку закриптованы.

Кстати, нужно "По окончани*и* работы".

----------


## santy

что-то известно о способах распространения вируса: email, зараженные сайты?

----------


## DVi

> Какая тушка-то, если написано: &quot;По окончанию работы вирус создает VBS-файл, который *удаляет основное тело вируса с компьютера* и выводит на экран MessageBox:&quot; ? (выделено мной). То есть вывод сообщения означает, что виря на компьютере нет, а все файлы по списку закриптованы.
> 
> Кстати, нужно &quot;По окончани*и* работы&quot;.


Борис, вероятно, Вы знаете о существовании утилит восстановления удаленных файлов?
Кроме того, описание действий пользователя непосредственно перед заражением может дать информацию об источнике распространения зловреда (название сайта, имя файла запускавшейся программы).

----------


## ALEX(XX)

"Лаборатория Касперского" выявила новую версию "вируса-шантажиста" Gpcode (Virus.Win32.Gpcode.ak). Этот вирус шифрует пользовательские файлы с расширениями .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др. при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит: "Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com" 
До сих пор экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных. 
До сих пор максимальная длина ключа RSA, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 бит. 
Сейчас специалисты "Лаборатории" вынуждены констатировать, что вскрыть ключ длиной в 1024 бита им не удаётся. 
Пользователям, обнаружившим вышеприведённое сообщение на своих компьютерах, рекомендовано обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу [email protected], сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер. 
Сотрудники "Лаборатории Касперского" приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные. 
Платить же шантажистам не рекомендуется, поскольку никаких гарантий получения жертвой дешифратора нет и быть не может. 

securitylab.ru

----------


## DVi

ALEX(XX), найдите 10 отличий оригинальной статьи от того, что Вы скопировали с секлаба. Кроме изящно подправленного заголовка...
Секлаб указывает источник на Компьютерре, где та же статья идет под заголовком "Вирус-шантажист Gpcode шифрует пользовательские данные". Ой не к добру эта самодеятельность секлаба.

----------


## maXmo

> ALEX(XX), найдите 10 отличий оригинальной статьи от того, что Вы скопировали с секлаба. Кроме изящно подправленного заголовка...


660 байт.

----------


## DVi

:Cheesy:

----------


## MedvedevUnited

На официальном форуме Лаборатории Касперского открыт специальный подфорум: http://forum.kaspersky.com/index.php?showforum=90

----------


## vidocq89

но больше всего радует расторопность Гриши - он получил ответы на некоторые интересующие нас вопросы у автора).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MedvedevUnited

> но больше всего радует расторопность Гриши - он получил ответы на некоторые интересующие нас вопросы у автора).


Да уж...кроме самого главного...

----------


## Гриша

В моих действиях я не вижу ни чего плохого,я стараюсь помочь людям как могу :Sad:  теперь мои лички трещат,кто спрашивает откуда я это знаю,другие еще что-то,третьи кричат,это ты его написал :Sad:

----------


## vidocq89

> В моих действиях я не вижу ни чего плохого


Гриша, я писал свой пост без всякой иронии. !!!
Правда приятно, видеть дело,  а не отстукивание пальцами по клавишам обсуждая "ох какие-же нехорошие эти авторы этого вируса".
сам хотел найти и спросить)
еще была идея заплатить и посмотреть что будет) но задушила жаба :Wink: 




> третьи кричат,это ты его написал


таких можно лесом отправлять.
но вы наверное это скажете как-нибудь повежливее)  :Smiley:

----------


## Surfer

Отсюда вывод : всем юзайть Firefox & NoScript  :Smiley:

----------


## vidocq89

руки выпрямлять некоторым надо, а не ноускрипт юзать...
помню что где-то тут была тема и там Олег говорил, что он юзает осла и никакие паразиты через него не лазают.
кто-то тоже с ним соглашался.

----------


## borka

> Борис, вероятно, Вы знаете о существовании утилит восстановления удаленных файлов?


Да слышал что-то краем уха... Ваша служба поддержки предлагает способ восстановления?




> Кроме того, описание действий пользователя непосредственно перед заражением может дать информацию об источнике распространения зловреда (название сайта, имя файла запускавшейся программы).


То есть механизм распространения через взломанные сайты?

*Добавлено через 1 минуту*




> В моих действиях я не вижу ни чего плохого,я стараюсь помочь людям как могу теперь мои лички трещат,кто спрашивает откуда я это знаю,другие еще что-то,третьи кричат,это ты его написал


Не берите в голову - мало кто что скажет...

----------


## DVi

borka, в данный момент неизвестен способ распространения и способ восстановления.

----------


## ALEX(XX)

А никто не может сказать, как обстоят дела с детектированием этого зловреда у других вендоров?

----------


## Гриша

Виталий,очистите личку я немогу с вами связаться :Sad:

----------


## Зайцев Олег

> А никто не может сказать, как обстоят дела с детектированием этого зловреда у других вендоров?


7 из 32х. Его ловят только DrWeb, F-Secure, Kaspersky, Microsoft, Norman, Symantec, GData. Все остальные этого зловреда не детектируют ...

----------


## Alex_Goodwin

F-Secure и GData используют движек касперского.
Т.е. сами вирлабы отловили только: DrWeb, Kaspersky, Microsoft, Norman, Symantec..
+ Может во имя пользователей надо забыть про разногласия и дать сэмпл всем? Через [email protected] например..

----------


## ALEX(XX)

> + Может во имя пользователей надо забыть про разногласия и дать сэмпл всем? Через [email protected] например..


Идея хорошая.

----------


## Зайцев Олег

> Идея хорошая.


заключительный абзац из 
http://www.viruslist.com/ru/weblog?weblogid=207758701
гласит - "...Лаборатория Касперского» готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум «Stop Gpcode».... "

----------


## ALEX(XX)

> заключительный абзац из 
> http://www.viruslist.com/ru/weblog?weblogid=207758701
> гласит - "...Лаборатория Касперского» готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум «Stop Gpcode».... "


Я этого не видел. Спасибо за информацию

----------


## santy

"Известны ли Вам случаи заражения пользователей NOD32 новым вариантом
вируса?
Есть ли обращения в техническую поддержку по поводу шифрования
пользовательских файлов?"
---
"Информации по данной угрозе в настоящее время нет. Статистики обращений с подобными проблемами нет (обращений О).

Последнее добавление разновидности данной угрозы относится к обновлению 2472. Для точного ответа нам необходим файл угрозы. NOD32 может детектировать данную угрозу модулем расширенной эвристики
используя данные "Родительских сигнатур". 

C уважением,
Служба технической поддержки ESET Russia"

----------


## ALEX(XX)

> "Известны ли Вам случаи заражения пользователей NOD32 новым вариантом
> вируса?


Берегите пенсне, Киса. Сейчас начнётся (с)  :Wink:

----------


## Синауридзе Александр

А support так и должен отвечать! А вот на форуме ЛК прочитав о том, что ничего не можем сделать очень удивился. Понятно, что проблема очень серьезная, однако пользователей все же надо было обнадежить.

----------


## Scythe

По-моему за такие вирусы вешать нада, чтоб другим не повадно было

----------


## Макcим

> А support так и должен отвечать! А вот на форуме ЛК прочитав о том, что ничего не можем сделать очень удивился. Понятно, что проблема очень серьезная, однако пользователей все же надо было обнадежить.


Eset'у проще - у них нет форума  :Smiley:  Поэтому они могут себе позволить так отвечать.

----------


## ALEX(XX)

> Eset'у проще - у них нет форума  Поэтому они могут себе позволить так отвечать.


Ну почему же... Есть у них форум

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

Русскоязычный?

----------


## ALEX(XX)

> Русскоязычный?


Не  :Sad:

----------


## vidocq89

поэтому этот же самый вопрос надо задать на английском языке))
и через проксю какую-нибудь буржуйскую, что бы не было видно что рашн)))))
посмотреть что тогда ответят))
"пригрозить" еще создать и тему для обсуждения на форуме)

----------


## borka

> А вот на форуме ЛК прочитав о том, что ничего не можем сделать очень удивился. Понятно, что проблема очень серьезная, однако пользователей все же надо было обнадежить.


Мне представляется, что позиция каспера по этому вопросу честная и объективная.

----------


## ISO

> ...еще была идея заплатить и посмотреть что будет) но задушила жаба...


А сколько *ОНО* просит за ключик? Кто-нибудь общался с вымогателем?

----------


## Muffler

> А сколько *ОНО* просит за ключик? Кто-нибудь общался с вымогателем?


100$

----------


## Гриша

Где-то просят 50$ где-то 100$+различные формы оплаты...

----------


## borka

> Где-то просят 50$ где-то 100$+различные формы оплаты...


Интересно... Что значит "где-то"? Он не один, их несколько?  :Unsure:

----------


## Гриша

А я почем знаю сколько их? :Smiley: это основано на их письмах пострадавшим...

----------


## ISO

> А я почем знаю сколько их?это основано на их письмах пострадавшим...


А сколько Вам электронных адресов для связи с шифровальщиками известно?

----------


## Гриша

Мне ничего не известно...

----------


## vidocq89

люди, имейте совесть) 
хватит доставать Гришу)

----------


## ALEX(XX)

> люди, имейте совесть) 
> хватит доставать Гришу)


Угу, а то я встану на его защиту и покусаю посты нападающих  :Cool:

----------


## DVi

Думаю, будет целесообразно покусать весь флейм в этом топике

----------


## borka

> люди, имейте совесть) 
> хватит доставать Гришу)


И в мыслях не было. Было сказано, что где-то просят столько-то, а где-то столько-то. Я и удивился, что вымогатель не один, а их, оказывается, несколько...

*Добавлено через 1 минуту*




> Угу, а то я встану на его защиту и покусаю посты нападающих


Ну и где Вы нападение увидели?

----------


## pig

> Было сказано, что где-то просят столько-то, а где-то столько-то. Я и удивился, что вымогатель не один, а их, оказывается, несколько...


IMHO, реальный вымогатель один. Остальные просто мошенники и кидалы.

----------


## ISO

> IMHO, реальный вымогатель один. Остальные просто мошенники и кидалы.


По адресу на форуме Касперского требуют 50USD, для гарантии готовы прочекать один из зашифрованных файлов:



> For check our guarantee you may send us one any encrypted file
> (with cipher key, specified in any !_READ_ME_!.txt file, being in the  directorys with the encrypted files). We decrypt it and send to you originally decrypted file.For check our guarantee you may send us one any encrypted file
> (with cipher key, specified in any !_READ_ME_!.txt file, being in the  directorys with the encrypted files). We decrypt it and send to you originally decrypted file.

----------


## Alex_Goodwin

> заключительный абзац из 
> http://www.viruslist.com/ru/weblog?weblogid=207758701
> гласит - "...Лаборатория Касперского» готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум «Stop Gpcode».... "


Готовы предоставить обратившимся это не одно и тоже, что выслать всем вирлабам.

----------


## maXmo

> руки выпрямлять некоторым надо, а не ноускрипт юзать...
> помню что где-то тут была тема и там Олег говорил


мало ли чего он говорил? Даже если мозги Олега пустить в расход, их всё равно на всех не хватит, поэтому – FireFox и NoScript.

----------


## vidocq89

> мало ли чего он говорил? Даже если мозги Олега пустить в расход, их всё равно на всех не хватит, поэтому – FireFox и NoScript.


Мозги Олега в расход я не предлагал пустить. Таких извращенных мыслей у меня не возникало :Wink: 

Я лишь предложил выпрямлять некоторым руки - т.е набираться знаний в этой области. Вирусинфо читать например...
К тому же почему так категорично? Я против лисы ничего не имею, конечно (мой любимый браузер), но кто-то может вам возразить что Опера не хуже и скрипты залочить можно и там.

К тому же - даже если допустить как-то, что все юзеры пересядут на предложенную вами связку (лиса+ноускрипт), то возникнет логичный вопрос - "откуда они про это узнают (что сие действие нужно сделать) и как они это осознают (что на самом деле *нужно* сделать это и это *сделают*)?".
Ответ как мне кажется будет простым - они это во-первых где-то прочитали (форум по безопасности какой-то) и они это хорошо и много прочитали и прочитали не только это, но еще и кучу чего другого т.к смогли осознать что это нужно и совершить данное действие. - итого выходит, что процесс перехода на предложенную вами связку практически неизбежно влечет за собой получение очень полезной информации по безопасности в сети в целом.
Т.е выпрямление рук.
 :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## maXmo

> Я лишь предложил выпрямлять некоторым руки - т.е набираться знаний в этой области. Вирусинфо читать например...


а что им делать, пока руки выпрямляются, но ещё не до конца выпрямились? Правильно, сидеть на FireFox и NoScript.




> К тому же - даже если допустить как-то, что все юзеры пересядут на предложенную вами связку (лиса+ноускрипт), то возникнет логичный вопрос - "откуда они про это узнают (что сие действие нужно сделать) и как они это осознают (что на самом деле *нужно* сделать это и это *сделают*)?".


узнать и осознать это на порядки проще и быстрее, чем выпрямить руки.




> итого выходит, что процесс перехода на предложенную вами связку практически неизбежно влечет за собой получение очень полезной информации по безопасности в сети в целом.
> Т.е выпрямление рук.


может и влечёт, не знаю, да даже если влечёт – когдаааа ещё руки выпрямятся… а безопасность нужна вчера. Поэтому – FireFox и NoScript.

----------


## Гриша

Давайте завязывать с флудом...

----------


## ALEX(XX)

Вобщем, конца интернета и на этот раз не получилось....

----------


## Макcим

Всё впереди!

----------


## borka

> Вобщем, конца интернета и на этот раз не получилось....


Как!? Опять!?  :Stick Out Tongue:

----------

