Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Gpcode - kolejny powrót

Witalij Kamliuk
Kaspersky Lab Expert
Dodany 12 sierpnia 2008, 10:12 CEST
Tagi:

Wczoraj usłyszeliśmy niepokojącą pogłoskę o nowej wersji Gpcode'a. Natychmiast zaczęliśmy rozmawiać z ofiarami i przeszukiwać Internet w celu znalezienia próbek.

Gdy trochę poszperaliśmy, znaleźliśmy próbkę odpowiadającą opisom podanym przez ofiary. Obecnie program jest rozprzestrzeniany za pośrednictwem botnetu. [nazwa nie została podana ze względów bezpieczeństwa].

Gpcode pozostawia plik tekstowy o nazwie crypted.txt, który zawiera żądanie zapłacenia 10 dolarów okupu. W pliku tym umieszczone są również dane kontaktowe autora: adres e-mail, numer ICQ i adres URL. Strona internetowa zawiera następujący tekst w języku rosyjskim (poniżej podajemy również tłumaczenie polskie):

Добрый день. 
Для вас 3 новости, не очень хорошая и две очень хороших и Начнем мы с неочень хорошей. 
Неочень хорошая новость заключается в том, что все ваши файлы зашифрованы современным алгоритмом AES-256.
В программе использован метод Открытых-закрытых ключей.
Используется 99999 клюей для шифрования, на каждой зараженной машине используется один ключ, повторов нет. 
Перебор ключей к алгоритму AES-256 невозможен в ближайщие 1000 лет. 
Надежды на Антивирусные компании - Нет. 
Алгоритм AES-256 используют американские спец службы для шифрования своих документов. 
И вот первая Хорошая новость:
Файлы можно дешифровать. 
Вторая очень хорошая новость:
Для дешифрации необходимо заплатить всего-то - 10 долларов.

Witaj
Mamy dla ciebie 3 wiadomości, 1 nie jest dobra, 2 są bardzo dobre, zaczniemy od
tej złej.

Zła wiadomość to taka, że wszystkie twoje pliki zostały zaszyfrowane przy użyciu nowoczesnego algorytmu AES-256.


Program wykorzystuje metodę publicznych i prywatnych kluczy.
Do szyfrowania użyto 99999 kluczy, na każdej zainfekowanej maszynie wykorzystywany jest unikatowy klucz. Nie ma duplikatów.

Złamanie kluczy dla AES-256 za pomocą metody "brute-force" nie jest możliwe w przeciągu kolejnych 1000 lat.


Nie należy liczyć na firmy antywirusowe.

Algorytm AES-256 jest wykorzystywany przez amerykańskie służby specjalne do szyfrowania ich dokumentów.

Pierwsza dobra wiadomość jest taka, że pliki mogą zostać odszyfrowane.


Druga bardzo dobra wiadomość: aby odszyfrować swoje pliki, musisz zapłacić tylko 10 dolarów. </pre>

Oprócz zaszyfrowania plików i pozostawienia wiadomości Gpcode zmienia również tapetę na pulpicie:

Apelujemy, aby nie płacić okupu. Zachęci to tylko autora do tworzenia nowych wariantów.

Jednocześnie chcielibyśmy podkreślić, że w momencie tworzenia tego postu zawarta w wiadomości informacja o algorytmie szyfrowania, liczbie unikatowych kluczy oraz długości klucza nie była potwierdzona.

Analizujemy algorytm szyfrowania w poszukiwaniu sposobów złamania go i przywrócenia plików. Do tego czasu, jeśli zostaniesz zaatakowany przez najnowszy wariant Gpcode'a, spróbuj przywrócić pliki przy użyciu metod opisanych tutaj. Z posiadanych relacji ofiar tego wirusa szantażysty wynika, że metoda ta częściowo przywraca zaszyfrowane pliki.

Jeśli jesteś ofiarą, skontaktuj się z nami na adres stopgpcode at kaspersky dot com.