Gpcode wraca znacznie bardziej niebezpieczny

Opublikowano: 8 czerwca 2008. Kategoria: Rynek. Tagi: ,

Kaspersky Lab informuje o wykryciu nowego, bardzo niebezpiecznego wirusa szyfrującego dane – Virus.Win32.Gpcode.ak. Gpcode.ak szyfruje pliki o różnych rozszerzeniach, między innymi: .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h i wiele innych. Do szyfrowania wykorzystywany jest algorytm RSA z kluczem o długości 1024 bitów. Analitycy z Kaspersky Lab dodali sygnatury tego szkodliwego kodu do baz danych 4 czerwca 2008 r.
Specjaliści z Kaspersky Lab skutecznie walczyli z poprzednimi wariantami wirusa Gpcode, z powodzeniem łamiąc nawet 660-bitowy klucz wykorzystywany przez autora szkodnika do szyfrowania danych (więcej informacji na ten temat można znaleźć w artykule Szantażysta: historia Gpcode’a w Encyklopedii Wirusów Viruslist.pl prowadzonej przez Kaspersky Lab). Szacowano wówczas, że gdyby twórca Gpcode’a poprawnie zaimplementował algorytm RSA złamanie 660-bitowego klucza zajęłoby około 30 lat przy użyciu jednego komputera z procesorem 2,2 GHz. Dopracowanie swojego „dzieła” zajęło autorowi dwa lata – wszystkie błędy występujące w starych wersjach zostały usunięte i użyto innego klucza – tym razem 1024-bitowego. Dotychczas analitykom z Kaspersky Lab nie udało się odszyfrować plików zaatakowanych przez nowego Gpcode’a – klucz o długości 1024 bitów to bardzo poważna sprawa a ponadto nie wykryto żadnych błędów w implementacji algorytmu RSA. Zatem, w momencie powstawania tego tekstu jedynym sposobem na odzyskanie zaszyfrowanych danych jest użycie klucza, którym dysponuje autor wirusa. Po zaszyfrowaniu plików na atakowanym komputerze Gpcode dodaje do nich rozszerzenie ._CRYPT i umieszcza plik !_READ_ME_!.txt w każdym folderze zawierającym zaszyfrowane obiekty. W pliku tekstowym autor wirusa informuje o tym, że plik został zaszyfrowany i oferuje sprzedaż programu deszyfrującego: Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com (Tłumaczenie: Twój plik został zaszyfrowany przy użyciu 1024-bitowego algorytmu RSA. W celu odzyskania swoich plików musisz kupić nasz program deszyfrujący. W celu dokonania zakupu skontaktuj się z nami pod adresem: *******@yahoo.com) Po zaistnieniu takiej sytuacji pod żadnym pozorem nie należy RESTARTOWAĆ ani WYŁĄCZAĆ potencjalnie zainfekowanego komputera. Kaspersky Lab zaleca kontakt z przy użyciu innego komputera podłączonego do Internetu, należy kontaktować się pod adresem e-mail pomoc@kaspersky.pl podając w treści wiadomości następujące informacje:
– Data i czas wystąpienia infekcji
– Opis wszystkich działań wykonywanych na komputerze przez okres około 5 minut przed wystąpieniem infekcji, łącznie z:
o uruchamianymi programami
o odwiedzanymi stronami WWW

Analitycy z Kaspersky Lab dołożą wszelkich starań, aby odzyskać zaszyfrowane dane. W chwili obecnej trwa analiza kodu wirusa w poszukiwaniu sposobu na odszyfrowanie plików bez użycia klucza prywatnego znajdującego się w posiadaniu autora wirusa. W międzyczasie zalecamy wszystkim użytkownikom ustawienie maksymalnego poziomu ochrony w oprogramowaniu antywirusowym i zachowanie wzmożonej ostrożności podczas korzystania z Internetu i czytania wiadomości e-mail.

„Namawiamy użytkowników, aby nie ulegali szantażowi cyberprzestępcy, ponieważ w ten sposób będą motywowali go do dalszego działania.”  – przekonuje Kaspersky Lab.

Hanna LaskowskaGpcode wraca znacznie bardziej niebezpieczny

Podziel się!

O autorze

hania