-
«Лаборатория Касперского» сообщает о появлении опасного вируса-шантажиста
«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak.
Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.
Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.
«Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.
До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.
После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит.
Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.
Аналитики «Лаборатории Касперского» продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.
К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:
«Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com»
«Лаборатория Касперского» настоятельно рекомендует пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу [email protected], и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.
Сотрудники «Лаборатории Касперского» приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.
Кроме того, пользователям ни в коем случае не следует идти на поводу у киберпреступников и выплачивать им требуемый выкуп, так как это мотивирует их продолжить свою преступную деятельность и совершенно не гарантирует жертве получения дешифратора.
Последний раз редактировалось ALEX(XX); 07.06.2008 в 12:27.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Первая ласточка
http://forum.kaspersky.com/index.php?showtopic=71367
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at:
[email protected]
-
-
Сообщение от
Alex_Goodwin
Что интересно, первая ласточка на форум Доктора прилетела почти в то же время...
-
Здесь тоже: http://virusinfo.info/showthread.php?p=235505
Короче - тут только вирусные аналитики помогут, посторонние тулзы пока бессильны.
Напишите нам на email
[email protected] и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли.
P.S. Форумчане, просьба к вам - при появлении новых пострадавших - сразу отправляйте на
[email protected]
логи собирать не надо.
Добавлено через 1 минуту
P.S. Обращение на ВИ, судя по всему, было первое (2 июня)
P.P.S. Адреса злоумышленника, кстати, разные.
Последний раз редактировалось DVi; 05.06.2008 в 19:21.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 61
А какими путями происходит заражение данным зловредом?
P.S. В процессе написания диплома, не хотелось бы одним прекрасным утром обнаружить все доковские файлы зашифрованными.
-
Сообщение от
Annihilator
P.S. В процессе написания диплома, не хотелось бы одним прекрасным утром обнаружить все доковские файлы зашифрованными.
"Бэкапы рулят!" (с)
-
Сообщение от
borka
"Бэкапы рулят!" (с)
+1
-
-
-
-
Достачно ли прав ограниченного юзера, или только под админом работает? ( в описании не указано, а очень интересно узнать )
-
-
Сообщение от
drongo
Достачно ли прав ограниченного юзера, или только под админом работает? ( в описании не указано, а очень интересно узнать )
Он шифрует документы. Соответственно - прав пользователя ему вполне хватает.
-
-
Сообщение от
Гриша
В чем смысл рекомендации "В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет." ?
Добавлено через 12 минут
Сообщение от
DVi
Он шифрует документы.
Скажем так, пользовательские файлы.
Кстати, полный спектр архивов, но почему-то без ZIP'а...
Последний раз редактировалось borka; 06.06.2008 в 00:56.
Причина: Добавлено
---
С уважением,
Borka.
-
Сообщение от
borka
В чем смысл рекомендации "В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет." ?
Скорее всего зверь самоудаляющийся. Важно поймать саму его тушку.
-
-
Сообщение от
DVi
Скорее всего зверь самоудаляющийся. Важно поймать саму его тушку.
Какая тушка-то, если написано: "По окончанию работы вирус создает VBS-файл, который удаляет основное тело вируса с компьютера и выводит на экран MessageBox:" ? (выделено мной). То есть вывод сообщения означает, что виря на компьютере нет, а все файлы по списку закриптованы.
Кстати, нужно "По окончании работы".
-
что-то известно о способах распространения вируса: email, зараженные сайты?
-
-
Сообщение от
borka
Какая тушка-то, если написано: "По окончанию работы вирус создает VBS-файл, который удаляет основное тело вируса с компьютера и выводит на экран MessageBox:" ? (выделено мной). То есть вывод сообщения означает, что виря на компьютере нет, а все файлы по списку закриптованы.
Кстати, нужно "По окончании работы".
Борис, вероятно, Вы знаете о существовании утилит восстановления удаленных файлов?
Кроме того, описание действий пользователя непосредственно перед заражением может дать информацию об источнике распространения зловреда (название сайта, имя файла запускавшейся программы).
Последний раз редактировалось DVi; 06.06.2008 в 08:52.
-
-
"Лаборатория Касперского" выявила новую версию "вируса-шантажиста" Gpcode (Virus.Win32.Gpcode.ak). Этот вирус шифрует пользовательские файлы с расширениями .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др. при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит: "Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com"
До сих пор экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.
До сих пор максимальная длина ключа RSA, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 бит.
Сейчас специалисты "Лаборатории" вынуждены констатировать, что вскрыть ключ длиной в 1024 бита им не удаётся.
Пользователям, обнаружившим вышеприведённое сообщение на своих компьютерах, рекомендовано обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу [email protected], сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.
Сотрудники "Лаборатории Касперского" приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.
Платить же шантажистам не рекомендуется, поскольку никаких гарантий получения жертвой дешифратора нет и быть не может.
securitylab.ru
Последний раз редактировалось ALEX(XX); 06.06.2008 в 16:50.
Left home for a few days and look what happens...
-
-
ALEX(XX), найдите 10 отличий оригинальной статьи от того, что Вы скопировали с секлаба. Кроме изящно подправленного заголовка...
Секлаб указывает источник на Компьютерре, где та же статья идет под заголовком "Вирус-шантажист Gpcode шифрует пользовательские данные". Ой не к добру эта самодеятельность секлаба.
-
-
Сообщение от
DVi
ALEX(XX), найдите 10 отличий оригинальной статьи от того, что Вы скопировали с секлаба. Кроме изящно подправленного заголовка...
660 байт.
-
-
-
-
Junior Member
- Вес репутации
- 59
На официальном форуме Лаборатории Касперского открыт специальный подфорум: http://forum.kaspersky.com/index.php?showforum=90