Kaspersky Lab, producent rozwiązań do ochrony danych,
informuje o wykryciu nowego, bardzo niebezpiecznego wirusa szyfrującego
dane - Virus.Win32.Gpcode.ak.
Gpcode.ak szyfruje pliki o różnych rozszerzeniach, między innymi: .doc,
.txt, .pdf, .xls, .jpg, .png, .cpp, .h i wiele innych. Do szyfrowania
wykorzystywany jest algorytm RSA z kluczem o długości 1024 bitów.
Analitycy z Kaspersky Lab dodali sygnatury tego szkodliwego kodu do baz
danych 4 czerwca 2008 r. Posiadanie aktualnych sygnatur zagrożeń
całkowicie chroni przed infekcją wirusem Gpcode.
Specjaliści skutecznie walczyli z poprzednimi wariantami wirusa Gpcode,
z powodzeniem łamiąc nawet 660-bitowy klucz wykorzystywany przez autora
szkodnika do szyfrowania danych Szacowano wówczas, że gdyby twórca
Gpcode'a poprawnie zaimplementował algorytm RSA złamanie 660-bitowego
klucza zajęłoby około 30 lat przy użyciu jednego komputera z procesorem
2,2 GHz
Dopracowanie swojego "dzieła" zajęło autorowi dwa lata - wszystkie
błędy występujące w starych wersjach zostały usunięte i użyto innego
klucza - tym razem 1024-bitowego. Dotychczas analitykom z Kaspersky Lab
nie udało się odszyfrować plików zaatakowanych przez nowego Gpcode'a -
klucz o długości 1024 bitów to bardzo poważne wyzwanie, a ponadto nie
wykryto żadnych błędów w implementacji algorytmu RSA. Zatem, w momencie
powstawania tego tekstu jedynym sposobem na odzyskanie zaszyfrowanych
danych jest użycie klucza, którym dysponuje autor wirusa.
Po zaszyfrowaniu plików na atakowanym komputerze Gpcode dodaje do nich
rozszerzenie ._CRYPT i umieszcza plik !_READ_ME_!.txt w każdym folderze
zawierającym zaszyfrowane obiekty. W pliku tekstowym autor wirusa
informuje o tym, że plik został zaszyfrowany i oferuje sprzedaż
programu deszyfrującego:
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com
Tłumaczenie:
Twój plik został zaszyfrowany przy użyciu 1024-bitowego algorytmu RSA.
W celu odzyskania swoich plików musisz kupić nasz program deszyfrujący.
W celu dokonania zakupu skontaktuj się z nami pod adresem:
*******@yahoo.com
Po zaistnieniu takiej sytuacji zalecamy kontakt z nami przy użyciu
innego komputera podłączonego do Internetu. Pod żadnym pozorem nie
należy RESTARTOWAĆ ani WYŁĄCZAĆ potencjalnie zainfekowanego komputera.
Należy kontaktować się pod adresem e-mail pomoc@kaspersky.pl podając w
treści wiadomości następujące informacje:
· Data i czas wystąpienia infekcji
· Opis wszystkich działań wykonywanych na
komputerze przez okres około 5 minut przed wystąpieniem infekcji,
łącznie z:
uruchamianymi programami
odwiedzanymi stronami WWW
Analitycy z Kaspersky Lab dołożą wszelkich starań, aby odzyskać
zaszyfrowane dane. W chwili obecnej trwa analiza kodu wirusa w
poszukiwaniu sposobu na odszyfrowanie plików bez użycia klucza
prywatnego znajdującego się w posiadaniu autora wirusa. W międzyczasie
zalecamy wszystkim użytkownikom ustawienie maksymalnego poziomu ochrony
w oprogramowaniu antywirusowym i zachowanie wzmożonej ostrożności
podczas korzystania z Internetu i czytania wiadomości e-mail. Po
zauważeniu na swoim komputerze pliku tekstowego przygotowanego przez
twórcę wirusa zalecamy natychmiastowy kontakt z nami zgodnie z opisaną
powyżej procedurą.
Namawiamy użytkowników, aby nie ulegali szantażowi cyberprzestępcy,
ponieważ w ten sposób będą motywowali go do dalszego działania.
