Обновлено: Лаборатория Касперского призывает объединиться в борьбе с Gpcode
В связи с повышенной сложностью расшифровки вредоносного модуля Gpcode Лаборатория Касперского призвала всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей объединить усилия для взлома ключа RSA-1024, используемого последней модификацией Gpcode, обнаруженной 4 июня. До этого последняя известная версия Gpcode использовала 663-байтный ключ, его дешифровка потребовала трехмесячной работы кластера из 80-ти компьютеров. Длина ключа в появившейся в июне версии Gpcode составляет 1024 бита. Подбор ключа для нее потребует примерно год работы пятнадцати миллионов современных компьютеров.
"Мы считаем задачу "взлома" ключа RSA-1024, который использовал злоумышленник, первым в истории случаем, который требует объединения накопленных знаний и существующих вычислительных ресурсов для достижения практической и благородной цели, а не только для академических исследований или хакерства", – пишется в веблоге Лаборатории Касперского. Желающие принять участие во взломе ключа RSA-1024 могут найти технические подробности здесь, для координации работы открыт специальный форум "Stop Gpcode".
Обновлено (09.06.2008):
В связи с тем, что расшифровка ключа последней модификации Gpcode значительно усложнена и вообще не может быть гарантирована, Лаборатория Касперского напомнила пользователям о поговорке "На Бога надейся, а сам не плошай". Если вы все же стали жертвой вируса и желаете вернуть доступ к зашифрованным файлам, не следует безропотно передавать злоумышленнику пин-код: не забудьте сообщить номер этой карты в службу поддержки соответствующей платежной системы. Таким образом мошенник может быть отслежен и в дальнейшем пойман. В противном случае при пассивной передаче пин-кода шансы на поимку преступника стремятся к нулю. Лаборатория Касперского не хочет создавать ощущение некой эпидемии Gpcode – число заражений низкое, но это действительно глобальная проблема, о которой необходимо знать хотя бы "в контексте вашей личной информационной безопасности".
Обновлено (16.06.2008):
Лаборатория Касперского смогла найти возможность обойти ключ Gpcode, воспользовавшись восстановлением данных на винчестере. Как сообщается, при шифровке файлов сначала создаются их копии, в которые и будут зашифрованы массивы данных. Оригиналы при этом удаляются, а значит их можно "вернуть к жизни" элементарным восстановлением при помощи разных специализированных программ. С точки зрения эффективности и доступности для пользователей Лаборатория Касперского выбрала open-source утилиту PhotoRec. Единственная трудность заключается в восстановлении точных имен файлов, для этого Лаборатория Касперского выпустила утилиту StopGpcode. Восстановившим свои данные пользователям Лаборатория Касперского порекомендовала в качестве благодарности внести пожертвования автору программы PhotoRec.
Обновлено (18.06.2008):
Лаборатория Касперского достигла первых успехов в борьбе с Gpcode. В результате проведенного анализа специалистам компании удалось выяснить, что появление вируса на компьютере происходит с помощью бот-программ, использующих трояны вроде Trojan-Downloader, ими пострадавшие компьютеры были заражены задолго до заражения Gpcode. "Секретный (private) RSA ключ для расшифровки по-прежнему не найден. Однако наша упорная работа над анализом алгоритма работы Gpcode.ak принесла пусть небольшой, но положительный результат: автор вируса сделал ошибку, которая позволяет при определенных условиях расшифровать часть файлов, не имея секретного RSA ключа", - сообщает Лаборатория Касперского. Найденный метод восстанавливает 0-98% файлов в зависимости от системы и дополнительных факторов. Сейчас Лаборатория Касперского занимается созданием утилиты с применением нового метода, таким образом для борьбы с Gpcode в распоряжении пользователей окажется сразу два инструмента, включая предложенное ранее восстановление файлов.
Обновлено (26.06.2008):
Лаборатория Касперского завершила работу по созданию новой утилиты, использующей найденный компанией метод восстановления файлов без использования ключа. Разработанная утилита называется StopGpcode2, она помогает восстанавливать до 80% файлов. Как выяснилось, если имеется незашифрованный файл и его зашифрованная копия, данные этих двух файлов позволяют помочь в дешифровке. Незашифрованные файлы могу быть получены через восстановление PhotoRec или взяты из резервных хранилищ.
"Однако гарантировать восстановления файлов мы не можем в силу специфики необходимых для применения метода требований, которые зависят от наличия у пользователя незашифрованных копий поражённых файлов и некоторых особенностей оборудования атакованной системы", - пишет Лаборатория Касперского. Большее число пар файлов означает большую вероятность восстановления. Прочитать инструкцию и скачать StopGpcode2 можно здесь.
© TechLabs
