Вирус кодирующий файлы RSA
забить сеня
забить сеня
«Лаборатория Касперского» предупреждает о начале распространения в Рунете новой версии «шантажной» программы Virus.Win32.GpCode — Virus.Win32.GpCode.ae.
Примерно два часа назад в антивирусную лабораторию компании начали поступать множественные запросы пользователей, документы на жестких дисках которых оказались зашифрованы.
Сама новая программа-шифровщик детектируется текущими базами Антивируса Касперского как Virus.Win32.GpCode.ad — предыдущая обнаруженная версия GpCode. Таким образом, для ее детектирования обновление антивирусных баз не требуется.
Основным изменением в новой версии вредоносной программы является применение более стойкого алгоритма шифрования — RSA 260-bit вместо применявшегося в версии .ad RSA 67-bit.
В результате работы новой версии вируса на жестком диске появляются файлы readme.txt следующего содержания:
Some files are coded by RSA method.
To buy decoder mail: mail.ru
with subject: REPLY
По причине изменения алгоритма шифрования существовавшие на момент появления новой версии вируса базы Антивируса Касперского не могли расшифровывать пораженные GpCode.ae файлы. 2 июня в 16:30 (время московское) было выпущено обновление, содержащее процедуры дешифровки пораженных файлов.
Для восстановления зашифрованной информации всем пострадавшим от новой версии GpCode необходимо обновить свои антивирусные базы и провести полное сканирование всех дисков компьютера.
«Лаборатория Касперского» призывает всех пострадавших от новой версии GpCode ни в коем случае не выполнять требования преступников и не поощрять их на создание новых версий вредоносной программы
Примерно два часа назад в антивирусную лабораторию компании начали поступать множественные запросы пользователей, документы на жестких дисках которых оказались зашифрованы.
Сама новая программа-шифровщик детектируется текущими базами Антивируса Касперского как Virus.Win32.GpCode.ad — предыдущая обнаруженная версия GpCode. Таким образом, для ее детектирования обновление антивирусных баз не требуется.
Основным изменением в новой версии вредоносной программы является применение более стойкого алгоритма шифрования — RSA 260-bit вместо применявшегося в версии .ad RSA 67-bit.
В результате работы новой версии вируса на жестком диске появляются файлы readme.txt следующего содержания:
Some files are coded by RSA method.
To buy decoder mail: mail.ru
with subject: REPLY
По причине изменения алгоритма шифрования существовавшие на момент появления новой версии вируса базы Антивируса Касперского не могли расшифровывать пораженные GpCode.ae файлы. 2 июня в 16:30 (время московское) было выпущено обновление, содержащее процедуры дешифровки пораженных файлов.
Для восстановления зашифрованной информации всем пострадавшим от новой версии GpCode необходимо обновить свои антивирусные базы и провести полное сканирование всех дисков компьютера.
«Лаборатория Касперского» призывает всех пострадавших от новой версии GpCode ни в коем случае не выполнять требования преступников и не поощрять их на создание новых версий вредоносной программы
Служба вирусного мониторинга компании «Доктор Веб» сообщает о значительном росте числа вирусных инцидентов с участием печально известной троянской программы Trojan.Encoder, которая в течение уже нескольких месяцев служит орудием шантажа определенной преступной группы. Неосторожные пользователи, получив эту программу по электронной почте (в основном, в спам рассылках) и пытаясь открыть инфицированное вложение, мгновенно лишаются всех файлов документов на своем компьютере - они оказываются закодированными, а для их раскодирования преступники требуют перевести деньги на указываемый ими счет одной из международных платежных систем.
Ранее наша компания уже сообщала об этом троянце (см. нашу новость от 27 января). Тогда же нами была разработана , с помощью которой можно раскодировать "обработанные" троянской программой файлы документов. Этой утилитой можно воспользоваться и сейчас - ею можно расшифровывать и файлы, пострадавшие в результате недавних атак "троянца".
По поступающей в последние дни информации, повторное появление этого же (теперь уже несколько видоизмененного) троянца Trojan.Encoder связано с распространением русскоязычного почтового червя массовой рассылки Win32.HLLM.Perf, известного также под именами Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.m, Trojan.Win32.Inject.z. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в интернете минимально, поскольку рассылает он письма исключительно на русском языке.
Компания «Доктор Веб» в очередной раз напоминает всем пользователям интернета о необходимости предельно осторожно обращаться с любыми почтовыми сообщениями, поступающими от неизвестных адресатов, либо вызывающими подозрение своей необычностью. Следует помнить, что электронная почта - основное средство для кибер-преступников, с помощью которого они могут доставить вредоносный код на компьютеры своих доверчивых жертв. При этом наличие постоянно обновляемой антивирусной программы является необходимым условием безопасной и эффективной работы с данными.
Ранее наша компания уже сообщала об этом троянце (см. нашу новость от 27 января). Тогда же нами была разработана , с помощью которой можно раскодировать "обработанные" троянской программой файлы документов. Этой утилитой можно воспользоваться и сейчас - ею можно расшифровывать и файлы, пострадавшие в результате недавних атак "троянца".
По поступающей в последние дни информации, повторное появление этого же (теперь уже несколько видоизмененного) троянца Trojan.Encoder связано с распространением русскоязычного почтового червя массовой рассылки Win32.HLLM.Perf, известного также под именами Email-Worm.Win32.Bagle.fw, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Pinch.m, Trojan.Win32.Inject.z. Данный почтовый червь не вызвал какой-либо эпидемии, присутствие его в интернете минимально, поскольку рассылает он письма исключительно на русском языке.
Компания «Доктор Веб» в очередной раз напоминает всем пользователям интернета о необходимости предельно осторожно обращаться с любыми почтовыми сообщениями, поступающими от неизвестных адресатов, либо вызывающими подозрение своей необычностью. Следует помнить, что электронная почта - основное средство для кибер-преступников, с помощью которого они могут доставить вредоносный код на компьютеры своих доверчивых жертв. При этом наличие постоянно обновляемой антивирусной программы является необходимым условием безопасной и эффективной работы с данными.
RSA разве можно дешифровать?
Если знать ключ - то без проблем 
видимо перебором (ключ на один комп наверное общий и раз только в Рунете вирус распостраняется, поэтому лечить от него могут токо русские антивирусы, автору нужно поставить Касперского и обновить его, либо искать отдельный дешифратор
Ключ, думаю не только на один комп, но и вообще один. Или их несколько (небольшое число) штук. Генерить-то ключи шифровальщик не может.
Генерить-то ключи шифровальщик не может.Почему, в чем проблема?
Клевый вирус
Советую начинать рюхать криптографию, раз файлы очень нужны
Советую начинать рюхать криптографию, раз файлы очень нужны
думаю длина ключа - 32 байта
260 битное RSA по-моему за несколько часов/дней современными алгоритмами ломается. Вот 512 бит уже на много хуже, а 1024 лежит на пределах возможности человечества.
тогда этот ключ где-то хранится. Иначе создатели вируса не могли бы восстановить файлы. (Врочем, может, они этого делать и не собираются )
)Сказывается положительный опыт OneHalf.
---
...Я работаю антинаучным аферистом...
---
...Я работаю антинаучным аферистом...
Ключ для кодирования зашит в программе, это не вопрос.
А вот где взять ключ для декодирования?
В случае шантажа программа для декодирования должна высылаться отдельно, после оплаты.
А вот где взять ключ для декодирования?
В случае шантажа программа для декодирования должна высылаться отдельно, после оплаты.
> А вот где взять ключ для декодирования?
Прочитать заголовок и подумать.
---
"Vyroba umelych lidi, slecno, je tovarni tajemstvi."
Прочитать заголовок и подумать.
---
"Vyroba umelych lidi, slecno, je tovarni tajemstvi."
Ну да, стормозил
Тады перебор. Или база простых чисел, авось брали из открытого источника.
Тады перебор. Или база простых чисел, авось брали из открытого источника.
ключ для декодирования подбирается один раз в антивирусной конторе на большом мощном кластере.
если это правда, то 
Если ключ достаточно простой.
Понятно, что при сложном ключе декодировать за разумное время не получится.
Если конечно данный вирус написан не антивирусной конторой
Понятно, что при сложном ключе декодировать за разумное время не получится.
Если конечно данный вирус написан не антивирусной конторой
я не знаю, правда ли это. это мое предположение. а почему нет?
>Если конечно данный вирус написан не антивирусной конторой
антивирусным конторам тоже кушать нужно
антивирусным конторам тоже кушать нужно
Если конечно данный вирус написан не антивирусной конторойвот это маза %
это предупреждение наших антивирусных компаний, что неплохо бы покупать их софт %
Это предупреждение наших антивирусных компаний,
чтобы переходили на операционные системы.
---
Скажи "нет" наркотикам!
чтобы переходили на операционные системы.
---
Скажи "нет" наркотикам!
Вот-вот, мне кажется, что не станут они заморачиваться раскодированием)
Правда, в таком случае они могли бы не RSA шифровать, а просто билибирду туда писать.
Вопрос спорный
Надо узнать, вдруг кому восстанавливали.
Правда, в таком случае они могли бы не RSA шифровать, а просто билибирду туда писать.
Вопрос спорный
Надо узнать, вдруг кому восстанавливали.
260 битное RSA по-моему за несколько часов/дней современными алгоритмами ломается. Вот 512 бит уже на много хуже, а 1024 лежит на пределах возможности человечества.Современными алгоритмами? Т.е. там не тупой перебор?
О, там такая тема что тупой перебор можно тоже организовывать или по умному или по тупому.
У меня помница книжка какаято лежала, там в целях самообразования была глава, про какието там древовые методы перебора .. Ну вобщем там все не так легко.
У меня помница книжка какаято лежала, там в целях самообразования была глава, про какието там древовые методы перебора .. Ну вобщем там все не так легко.
Интересно, а чего это аффтары такого вируса использовали 260-битное RSA? Уже давно были найдены субэкспоненциальные методы факторизации и RSA с длиной ключа менее 512 бит к использованию не рекомендовали. Ну или использовали бы алгоритм Эльгамаля-с ним куда сложнее.
Может, и антивирусные конторы тут ручки приложили?
Может, и антивирусные конторы тут ручки приложили?
А с чего ты взял. что там 260 бит
В следующий раз авторы применят что-нибудь посовременнее и тогда будет ПРЕВЕД пользователям винды
В следующий раз авторы применят что-нибудь посовременнее и тогда будет ПРЕВЕД
пользователям виндыА вот .
Вот это и странно, почему сразу не использовали что-то более современное, или хотя бы длину ключа не увеличили до 1024 бит? Как будто хотели оставить возможность для подбора закрытого ключа.
Вот это и странно, почему сразу не использовали что-то более современное, или хотя бы длину ключа не увеличили до 1024 бит? Как будто хотели оставить возможность для подбора закрытого ключа.
Блять, жопа как авторы лоханулись, что даже антивирус зараженныефайлы может раскодировать. Там че, один и тот же ключ или 260 бит RSA-ключ на обычной писи так легко разрюхать
PS mail.ru порадовал
PS mail.ru порадовал
Скорее второе.
Тада если ключ генерится во время исполнения вируса, вааще не ясно че они его таким коротким сделали
Короче обидно за такую идею
Короче обидно за такую идеюНу это как раз понятно - денежки-то им хочется получить за расшифровку, а как их получить, если расшифровать не получается? Другое дело, что фактически метод расшифровки становится доступным каждому. А если бы они сделали программу расшифровки, например, на основе получения ключа из инета, так было бы гораздо веселее.
гы...
Думаю, тогда антивирусные конторы пойдут методом некоторых пиратов: купят расшифровальщик, взломают и вытянут ключик из него, затем выпустят свою утилиту....
А вирусописатель, сразу после того, как выдаст копию расшифровальщика, будет заблокирован (в смысле, его мыло)
Думаю, тогда антивирусные конторы пойдут методом некоторых пиратов: купят расшифровальщик, взломают и вытянут ключик из него, затем выпустят свою утилиту....
А вирусописатель, сразу после того, как выдаст копию расшифровальщика, будет заблокирован (в смысле, его мыло)
Вирусописатель может не высылать расшифровальщик, а расшифровывать файлы у себя на компе и посылать их по мылу обратно. Но заблокировать его мыло - вещь правильная. 
Вирусописатель может не высылать расшифровальщик, а расшифровывать файлы у себя на компе и посылать их по мылу обратно. Но заблокировать его мыло - вещь правильная.блокировать полностью не надо, а вот недопустить того, чтобы до ящика доходили какие-либо письма, следует обязательно. Имхо, об этом договориться с руководством майл.ру без проблем можно.
Блин, вы серьезно верите в реальность указанного mail-адреса?
Но заблокировать его мыло - вещь правильная.Только в этом треде я заметил два разных мыла.
Адресов может быть несколько,
вирус сам может лезть в сеть, чтобы вспомнить адрес,
вирус может быть сам по себе безвредным.
---
...Я работаю антинаучным аферистом...
вирус сам может лезть в сеть, чтобы вспомнить адрес,
вирус может быть сам по себе безвредным.
---
...Я работаю антинаучным аферистом...
блин, ну объясните, как ключ может генериться во время исполнения вируса? в таком случае он должен где-то храниться, иначе восстановление данных будет невозможно. раз так, можно отдебаджить вирус и узнать, куда он пишет ключ. Т.к. пара прямой/обратный ключи должна быть известна создателям вируса, скорее всего, ее могут найти и создатели антивируса.
в таком случае он должен где-то храниться, иначе восстановление данных будет невозможноочень неправильное утверждение
ну-ну. приведи пример, как можно сделать так, чтобы:
а) ключ генерился на зараженном компе;
б) создатель вируса мог дешифровать данные (за разумное время);
в) никто другой не мог их дешифровать (за разумное время).
а) ключ генерился на зараженном компе;
б) создатель вируса мог дешифровать данные (за разумное время);
в) никто другой не мог их дешифровать (за разумное время).
а) ключ генерился на зараженном компе;Не знаю, вопрос к создателям вируса. Вопрос исключительно технический
б) создатель вируса мог дешифровать данные (за разумное время)А оно ему (создателю) надо
в) никто другой не мог их дешифровать (за разумное время)Как это сделать описано в постах выше, неактуально
Пункт б противоречит двум другим
Использовать метод RSA с публичным и приватным ключом
> Пункт б противоречит двум другим
именно это я и сказал
поэтому я полагаю, что пункт а) не выполняется
что касается "зачем ему нужно": а если не нужно, нафига криптовать? можно просто потереть нафиг. или мусором забить.
именно это я и сказал
поэтому я полагаю, что пункт а) не выполняется
что касается "зачем ему нужно": а если не нужно, нафига криптовать? можно просто потереть нафиг. или мусором забить.
ага. но генериться каждым инстансом вируса он не будет, верно?
Если бы генерировался, то была бы жопа
Будет. Никто же не мешает запихнуть в этот генератор какую угодно логику
Объясняю: вирус генерит случайный гуид и шифрует его публичным ключом. Зная публичный ключ (полученный реверс-инжинирингом, например) получить гуид невозможно (точнее, можно только путём почти полного перебора). Зато счастливый обладатель приватного ключа (автор вируса) может расшифровать гуид и выслать его жертве.
Почему автор вируса не имплементил такую схему - непонятно, наверное, он идиот.
Почему автор вируса не имплементил такую схему - непонятно, наверное, он идиот.
что такое гуид?
> Зная публичный ключ (полученный реверс-инжинирингом, например) получить гуид невозможно (точнее, можно только путём почти полного перебора).
Именно это и сделают нортон, дрвеб и касперски в своих центрах. в течение нескольких часов на своих кластерах. После чего антивирус с обновлением сумеет расшифровывать тот самый гуид. Итак, гуид известен. Теперь поясни, что это такое.
> Зная публичный ключ (полученный реверс-инжинирингом, например) получить гуид невозможно (точнее, можно только путём почти полного перебора).
Именно это и сделают нортон, дрвеб и касперски в своих центрах. в течение нескольких часов на своих кластерах. После чего антивирус с обновлением сумеет расшифровывать тот самый гуид. Итак, гуид известен. Теперь поясни, что это такое.
Globally Unique Identifier. "101A8FB9-F1B9-11d1-9A56-00C04FA309D4", например.
>> Именно это и сделают нортон, дрвеб и касперски в своих центрах. в течение нескольких часов на своих кластерах.
Если бы чувак, как здесь уже писали, использовал 1к+ битный ключ, его даже ФБР вместе с ЦРУ и китайским правительством ломали бы лет двадцать.
>> Именно это и сделают нортон, дрвеб и касперски в своих центрах. в течение нескольких часов на своих кластерах.
Если бы чувак, как здесь уже писали, использовал 1к+ битный ключ, его даже ФБР вместе с ЦРУ и китайским правительством ломали бы лет двадцать.
> Globally Unique Identifier. "101A8FB9-F1B9-11d1-9A56-00C04FA309D4", например.
я знаю, как расшифровывается это слово. меня интересовало, для чего в данном случае (с твоей точки зрения) используется генеренный гуид.
> сли бы чувак, как здесь уже писали, использовал 1к+ битный ключ, его даже ФБР вместе с ЦРУ и китайским правительством ломали бы лет двадцать.
ну дак ведь обсуждается конкретный вирус с учетом известной (промелькнувшей в треде) инфы. он использует 256битный ключ. а механизм выбора ключа в треде не известен и обсуждается.
я знаю, как расшифровывается это слово. меня интересовало, для чего в данном случае (с твоей точки зрения) используется генеренный гуид.
> сли бы чувак, как здесь уже писали, использовал 1к+ битный ключ, его даже ФБР вместе с ЦРУ и китайским правительством ломали бы лет двадцать.
ну дак ведь обсуждается конкретный вирус с учетом известной (промелькнувшей в треде) инфы. он использует 256битный ключ. а механизм выбора ключа в треде не известен и обсуждается.
для чего в данном случае (с твоей точки зрения) используется генеренный гуид.Для симметричного шифрования файлов, очевидно. Для чего ж ещё?
То есть GUID - искомый RSA-ключ?
он сказал "симметричный". наверно, имеется в виду, что рса шифруется какой-нибудь длинный ключ (очевидно, все же не 128-битный гуид. иначе вместо взлома 256-битного рса аналитикам придется ломать какой-нибудь Блейз а этот ключ используется уже для симметричного шифрования.
В GUID входит MAC адрес сетевухи на компе и штамп времени. GUID на то и называется уникальным, что на каждом компе с нормальной сетевухой можно сгенерить уникальный GUID каждую секунду (или две мб.). Т.е., расшифровать часть GUID'а может сам антивирусник.
ну как, расшифровала?
еще пара таких вирусов, и все в Рунете будут знать основы криптографии, и теории кодирования.
Оставить комментарий
kalyaka
нашла во всех папках с вордовым документами файл:мыло уже заблокировали.
Посоветуйте пожалуйста что можно сделать?
файлы очень нужные...