Comments 129
Сразу вспоминается One Half
Только что сам хотел это дописать. История повторяется.
UFO just landed and posted this here
Ну не думаю что это так. Тем более что это не первая попытка - вирусу как таковому, как уже заметили, года 3. то что сейчас - просто очередной "наворот" его технологии. жаль что такая "популярность" этого вируса может сыграть плохую роль - им заинтересуются конкретные вирусописатели, да и если взломают - следующий будет уже 2048 битный.
другой вопрос - что даст сама возможнось "взламывать" 1024 битный ключ?
Ну разве что сам Касперский придумал новую технологию шифрования и метит на место RSA ;)
другой вопрос - что даст сама возможнось "взламывать" 1024 битный ключ?
Ну разве что сам Касперский придумал новую технологию шифрования и метит на место RSA ;)
а мне "Цифровая крепость" Брауна вспомнилась.
Кстати, исправьте: "ключом" и "посвящённый".
UFO just landed and posted this here
торжествую синоним анонирую? :)
Да ладно, как будто вы ни разу на Мак не дрочили.
В нашей деревне Мак не распространён, всё больше как то Винда и Убунтариум сплошной.
Хотя, вы правы.. был бы у меня мак Аир.. я был бы славным дрочером!!1 :)
все грешили =)
Ну как всегда. За коммент +5, от кармы 4 убыло. Типа «Сказал хорошо, но человек ты всё равно не хороший».
Пойду дрочить на то, что осталось от кармы.
Пойду дрочить на то, что осталось от кармы.
Кстати, исправьте на "онанирую")))
UFO just landed and posted this here
Если бы пакостили из чистого исскуства - сработало бы. А так вирмейкер попалится на бабле. Никакие кластера в данном случае не нужны, делается "контрольная закупка" дешифратора, отслеживаются банковские счета, и пакостника берут тёпленьким в момент получения денег. Другое дело, что это работа для интерпола, а не ЛК...
Не написано под какую ОС вирус. Если вирус есть - сразу подразумевается что он под Windows? :)
Сходите по первой ссылке: Platform Win32.
UFO just landed and posted this here
Ну мне сегодня от юзеров пришли два линуховых руткита. И еще с десяток файлов с какой-то заразой под линух. Так что не только "вендекапец" :-)
все события случаются в москве, все вирусы пишутся под виндовс
поэтому такие очевидные «сведения» не грех и опустить
:)
поэтому такие очевидные «сведения» не грех и опустить
:)
Так не интересно ... судя по всему пара ключей одна. Вот когда появится вирус, который будет по интернету сгружать открытый ключ RSA-2048 для каждого отдельного компа и им шифровать, вот тогда будет интересно :)
Наверняка ошибка где-то во всей этой схеме есть... Не в выводе денег, а где-то в технических моментах. Надо только ее найти... :-)
Пишут, что вирь использует CryptoAPI ... если только в самом CryptoAPI баг найти, тогда поможет :)
особенно 89 понравилось в названии мыла :)
Куда родители смотрят?
Что есть то есть. Ловят либо интелектуально недалеких личностей либо жадин. В данном случае парнишка попадает под второе.
Проблеммы в выслеживании не вижу. Статейка в УК РФ тоже предусмотрена.
А там зажуму плоскогубцами одно место. Вот RSA и сломан ;)
Куда родители смотрят?
Что есть то есть. Ловят либо интелектуально недалеких личностей либо жадин. В данном случае парнишка попадает под второе.
Проблеммы в выслеживании не вижу. Статейка в УК РФ тоже предусмотрена.
А там зажуму плоскогубцами одно место. Вот RSA и сломан ;)
хм)
было бы неплохо послать разрабочику вируса пачку троянов на мейл, который он любезно предоставил)
было бы неплохо послать разрабочику вируса пачку троянов на мейл, который он любезно предоставил)
И что? Угробит у него троян файло и шансов на восстановление зашифрованной информации станет существенно меньше...
Дельное предложение. Это к ЛК.;) Пусть сварганят чё-нить чтоб его антивирь не поймал.
Вижу заголовки газет: троян Лаборатории Касперского спас мир.
Вижу заголовки газет: троян Лаборатории Касперского спас мир.
Не думаю, что разработчики вирусов заботятся о своей компьютерной безопасности меньше, чем антивирусные компании. Вспомните например, насколько часто ловят вирусописателей...
UFO just landed and posted this here
Для всех пострадавших, получается, нужен дешифратор с разными ключами?
Почему то нигде не написано как этот вирус распространяется
В том и суть. Темнят они. Вирус вроде даже поймали, пока тот сам не уничтожился - но вот подробности словно у них был контакт с пришельцами - только слухи, а факты усиленно скрываются.
http://www.viruslist.com/ru/analysis?pubid=188790045
а это не важно для целей вирусного маркетинга. Главное, что ЛК обнаружили, поймали, проанализировали вирус, который никто и никогда до них не видел. Если эта маленькая пиар акция провалится, то случайно произойдет новая вирусная эпидемия.
Вот такой нынче (анти)-вирусный бизнес.
Вот такой нынче (анти)-вирусный бизнес.
а вот вам взгляд на проблему немецких пользователей интернета и частично немецких же пользователей, ответственных за компьютерное оборудование на предприятиях (взгляд этот поддерживается также и политическими деятелями на уровне намёков, общих формулировок, призывов к защите отечественного производителя, нагнетания паранои и т.д.):
за распространение вирусов ответственны иностранные компании, производящие антивирусное ПО. иностранные компании стран западно-демократического толка на такое, конечно же, неспособны. но есть фирма-квазимонополист с востока, руководитель которой получил образование в структуре госбезопасности... ну, и далее насколько фантазии хватает.
за распространение вирусов ответственны иностранные компании, производящие антивирусное ПО. иностранные компании стран западно-демократического толка на такое, конечно же, неспособны. но есть фирма-квазимонополист с востока, руководитель которой получил образование в структуре госбезопасности... ну, и далее насколько фантазии хватает.
У меня иногда складывается впечатление, что антивирусные магнаты сами придумывают новые вирусы, и у них даже есть отдельные секретные лаборатории для этого =) ну а потом запускают новые вирусы и, выдержав тактичную паузу, начинают рекламную кампанию - "Мы его победим!" Ну и побеждают, конечно.
*На сии размышления меня натолкнул заголовок вышеизложенной публикации.
*На сии размышления меня натолкнул заголовок вышеизложенной публикации.
меня на сии размышления навел форум у Касперского, где малейшее упоминание такого рода мыслей приводит к закрытию топика.
честно говоря разум требует сенсаций (чтобы хоть кто-то факты накопал). а то без фактов думать можно все что угодно, в том числе и обвинять в том чего на самом деле нет.
честно говоря разум требует сенсаций (чтобы хоть кто-то факты накопал). а то без фактов думать можно все что угодно, в том числе и обвинять в том чего на самом деле нет.
Подумал абсолютно о том же, прочитав заголовок :-)
UFO just landed and posted this here
Что-то подобное было пару лет назад, вирус Trojan.encoder, о котором писал тут, между прочим та еще история...
Этому вирусу уже два года http://www.symantec.com/security_respons…
Касперскому - пять баллов за оперативность.
Касперскому - пять баллов за оперативность.
Прошу прощенья, ТРИ года
Ну и где у симантека написано про длину ключа и используемые алгоритмы? Этак вы начнете утверждать, что WinXP - суть Win3.11 потому что GUI есть и название то же самое?
Не поленились бы Вы пройти по предоставленным ссылкам и немного дальше, прочтали бы следующее "4 июня 2008 года специалистами ЛК был обнаружен новый вариант опасной вредоносной программы – шифровальщика «Gpcode»." и не делали бы столь громких выпадов.
UFO just landed and posted this here
А IBM как раз же построила новый супер-компьютер RoadRunner, пускай сломают им этот ключ в два счета.
В два счета не получится даже на RoadRunner...
Хотя конечно 1024 бита для RSA - это маловато.
Хотя конечно 1024 бита для RSA - это маловато.
почему нет? они рассматривают атаку по известным исходным данным на ключ, т.е. потенциально ЛК будет в скором времени иметь формулы расчета и генерации закрытых ключей для этого случая. И машинки типа RoadRunner им явно только помогут.
Стесняюсь спросить: а откуда такая информация???
Насколько я знаю, криптосистемы с открытым ключем (к коим, несомненно, относится и RSA) бессмысленно взламывать атакой с известным открытым текстом. Так как действие криптоалгоритма основывается на теоретико-числовой проблеме разложения на множители, то существуют две наиболее перспективных атаки: разложение на множители с целью восстановления закрытого ключа, либо (что эквивалентно по сложности) подбор параметров, при которых расшифрование проводится при помощи открытого ключа.
Насколько я знаю, криптосистемы с открытым ключем (к коим, несомненно, относится и RSA) бессмысленно взламывать атакой с известным открытым текстом. Так как действие криптоалгоритма основывается на теоретико-числовой проблеме разложения на множители, то существуют две наиболее перспективных атаки: разложение на множители с целью восстановления закрытого ключа, либо (что эквивалентно по сложности) подбор параметров, при которых расшифрование проводится при помощи открытого ключа.
Вот здесь есть идея атаки с использованием известных исходных данных и вроде как ЛК рассматривает эти идеи. Кстати, до сих пор как-то не ясно: RC4 это или все же RSA.
Я думаю, что это RC4 (или что-то еще с секретным ключем - я бы выбрал AES).
Кстати, в форуме ЛК указывается именно RC4. Шифровать RSA просто глупо - скорость слишком низкая.
Кстати, скорость RC4, наверное, самая большая среди известных систем шифрования с закрытым ключем (только TEA может его обогнать, но он не так распространен).
На самом деле у меня есть следующая идея:
Зачем ломать систему шифрования, если можно пойти в обход? Если антивирусу доступен контроль над памятью, регистрами процессора, то можно просто дампить все данные процесса вируса и таким образом ловить ключ RC4 напрямую в памяти в процессе генерирования.
Думаю ЛК таким путем и пойдет.
Кстати, в форуме ЛК указывается именно RC4. Шифровать RSA просто глупо - скорость слишком низкая.
Кстати, скорость RC4, наверное, самая большая среди известных систем шифрования с закрытым ключем (только TEA может его обогнать, но он не так распространен).
На самом деле у меня есть следующая идея:
Зачем ломать систему шифрования, если можно пойти в обход? Если антивирусу доступен контроль над памятью, регистрами процессора, то можно просто дампить все данные процесса вируса и таким образом ловить ключ RC4 напрямую в памяти в процессе генерирования.
Думаю ЛК таким путем и пойдет.
Кстати, по Вашей ссылке, практически нет здравых мыслей по поводу взлома.
Предложение ЛК вообще считаю полным бредом - ломать ключи RSA означает только смешить злоумышленника. Он завтра сменит все ключи и пиши пропало.
Предложение ЛК вообще считаю полным бредом - ломать ключи RSA означает только смешить злоумышленника. Он завтра сменит все ключи и пиши пропало.
Да вы не волнуйтесь. Подтянутся китайцы и напишут кряк. В первый раз чтоли)
Да уж. Иные времена, иные вири. Манят возможностью восстановления инфы, и все теряют время. То ли дело суровые девяностые. Чих - и ты без винта...
Чих - и ты без bios'а
Ну так. В суровые 90-е потеря компьютера была проблемой не только для обычного пользователя, но и для сотрудника крупной компании. А сейчас, в эпоху сетевых технологий и терминальных решений разве кого напугаешь убитым винтом или компом? Сдал машину в ремонт, сел за другой комп, залогинился - и ты снова на своём рабочем месте.
Даже удалённые данные можно восстановить. Так что, этот вирус - явная будущая тенденция вредоносного ПО.
Даже удалённые данные можно восстановить. Так что, этот вирус - явная будущая тенденция вредоносного ПО.
"одно неловкое движение — и вы отец" © )
Искренне сочувствую всем подхватившим эту «заразу», очень жаль разом потерять все свои файлы.
На форуме кашмарского предлагают воспользоваться различными Recovery-утилитами, которые восстанавливают вроде бы как не затертые на физическом уровне файлы (на физическое удаление нужно время, которого у вируса нет).
Таким образом, часть потерянной информации можно восстановить, главное - в случае заражения - не выключайте и не перезагружайте компьютер (иначе разжимания своп-файла могут затереть данные), а запустите с флешки или CD софт для восстановления удаленных данных.
Ради этого поста пришлось зарегистрироваться на Хабре :)
На форуме кашмарского предлагают воспользоваться различными Recovery-утилитами, которые восстанавливают вроде бы как не затертые на физическом уровне файлы (на физическое удаление нужно время, которого у вируса нет).
Таким образом, часть потерянной информации можно восстановить, главное - в случае заражения - не выключайте и не перезагружайте компьютер (иначе разжимания своп-файла могут затереть данные), а запустите с флешки или CD софт для восстановления удаленных данных.
Ради этого поста пришлось зарегистрироваться на Хабре :)
Идиоты.
Появится точно такой же вирус с другим открытым ключом. И че? опять будут брутфорсить? :)
Мда... Одно из двух: или там мудаки или "PR для дураков". Зная сию "команду", могу предположить, что больше похоже на второе...
Появится точно такой же вирус с другим открытым ключом. И че? опять будут брутфорсить? :)
Мда... Одно из двух: или там мудаки или "PR для дураков". Зная сию "команду", могу предположить, что больше похоже на второе...
Это вызов.
Подбор ключа - это частный случай.
Хотя мне вот, например, интересно. Злоумышленники предлагают дешифратор за какие-то деньги. Если им кто-нибудь заплатит и выложит дешифратор в сеть, то вся криптография пойдет по бороде. Какой смысл тогда продавать дешифратор? С точки зрения злоумышленников надо восстанавливать файлы за деньги, но если файлов будет очень много, то как это сделать, имея только один почтовый ящик на yahoo?
Подбор ключа - это частный случай.
Хотя мне вот, например, интересно. Злоумышленники предлагают дешифратор за какие-то деньги. Если им кто-нибудь заплатит и выложит дешифратор в сеть, то вся криптография пойдет по бороде. Какой смысл тогда продавать дешифратор? С точки зрения злоумышленников надо восстанавливать файлы за деньги, но если файлов будет очень много, то как это сделать, имея только один почтовый ящик на yahoo?
>>выложит дешифратор в сеть, то вся криптография пойдет по бороде
Позвольте не согласиться - приведу цитату из форума Касперского:
"Потому что данные на каждом компьютере шифруются с уникальным ключом, и ключ для одной системы не будет работать при расшифровке данных на другой системе. Поэтому этот вариант бесполезен..."
По этой же причине нет смысла в прямом переборе - потратив 5 лет работы суперкомпьютера, получится излечить лишь одну конкретную систему.
Этот гад (или группа гадов) очень хорошо все продумали!
Позвольте не согласиться - приведу цитату из форума Касперского:
"Потому что данные на каждом компьютере шифруются с уникальным ключом, и ключ для одной системы не будет работать при расшифровке данных на другой системе. Поэтому этот вариант бесполезен..."
По этой же причине нет смысла в прямом переборе - потратив 5 лет работы суперкомпьютера, получится излечить лишь одну конкретную систему.
Этот гад (или группа гадов) очень хорошо все продумали!
Как я уже писал выше, Касперскому необходимо написать утилиту-монитор, которая бы делала дампы данных процессов зараженных вирусом. Идея проста: как ты не прячь, не шифруй ключ, но операции с ним происходят в оперативной памяти, следовательно ключ можно поймать и не нужно ничего брутфорсить - это уже и впрямь бред...
А вы вообще слышали о шифровании с открытым ключом? :)
Зашифровать можно, расшифровать, даже зная ключ которым все шифровалось - нельзя.
Нужен секретный ключ, который имеется только у злоумышленника и никак не в оперативной памяти.
Хотя, если вам известен быстрый алгоритм разложения больших чисел на простые множители... всех криптографов в мире хватит удар :)
Зашифровать можно, расшифровать, даже зная ключ которым все шифровалось - нельзя.
Нужен секретный ключ, который имеется только у злоумышленника и никак не в оперативной памяти.
Хотя, если вам известен быстрый алгоритм разложения больших чисел на простые множители... всех криптографов в мире хватит удар :)
Хм, не обратил внимания на ваши комменты выше :) судя по всему вам это все известно
Вот именно! :)
Кроме того, либо Вы невнимательно читали, либо вообще не читали: данные не могут шифроваться алгоритмом RSA (это слишком долго). Для шифрования данных используется RC4 - вот для него ключ и находится в памяти.
Причем секретный ключ RSA и злоумышленника один, но секретный ключ RC4 генерируется для каждой машины отдельно (и, как предполагали люди в комментах он используется в сочетании с солью, получаемой из шифруемого файла - таким образом сеансовый ключ для каждого файла уникален). Искать сеансовые ключи - бред, ломать RSA - бред, хоть и меньший (это позволит расшифровать все данные, зашифрованные на текущий момент, но не спасет в случае смены ключа злоумышленником). Утилита, которая будет искать в памяти мастер ключ RC4 на мой взгляд самая перспективная идея.
Кроме того, либо Вы невнимательно читали, либо вообще не читали: данные не могут шифроваться алгоритмом RSA (это слишком долго). Для шифрования данных используется RC4 - вот для него ключ и находится в памяти.
Причем секретный ключ RSA и злоумышленника один, но секретный ключ RC4 генерируется для каждой машины отдельно (и, как предполагали люди в комментах он используется в сочетании с солью, получаемой из шифруемого файла - таким образом сеансовый ключ для каждого файла уникален). Искать сеансовые ключи - бред, ломать RSA - бред, хоть и меньший (это позволит расшифровать все данные, зашифрованные на текущий момент, но не спасет в случае смены ключа злоумышленником). Утилита, которая будет искать в памяти мастер ключ RC4 на мой взгляд самая перспективная идея.
Объясните, если не сложно, следующую вещь:
если соль берется из шифруемого файла, файл шифруется по RC4, ключ шифрования шифруется RSA, тогда для каждого файла ключ шифрования (я про симметричный) должен быть уникальным? В таком случае его нужно где-то хранить. А, насколько я знаю, на зараженных компьютерах в файлах Readme хранится один и тот же открытый ключ.
если соль берется из шифруемого файла, файл шифруется по RC4, ключ шифрования шифруется RSA, тогда для каждого файла ключ шифрования (я про симметричный) должен быть уникальным? В таком случае его нужно где-то хранить. А, насколько я знаю, на зараженных компьютерах в файлах Readme хранится один и тот же открытый ключ.
Соль необязательно брать из шифруемого файла, это может быть совершенно случайная последовательность (в своем предыдущем комментарии я лишь ссылался на мнение учасников форума ЛК).
Сеансовый ключ ОБЯЗАН быть уникальным, иначе злоумышленник - идиот.
Ключ генерируется случайно для каждого файла, смешивается с солью, а после шифрования файла, сам шифруется открытым ключом RSA (который находится в Readme). После этого, сеансовый ключ для жертвы абсолютно бесполезен и может храниться в открытом виде. Скорее всего он дописывается в начало или конец каждого зашифрованного файла. Плюс, возможно, еще в начале файла ставится метка, что файл зашифрован.
Если жертва отсылает Readme злоумышленнику, то он запросто находит у себя пару к присланному открытому ключу (как известно, ключи RSA генерируются только парой), запихивает этот ключ в утилиту расшифрования и высылает жертве.
Утилита, найдя файл (скорее всего по метке), извлекает из него зашифрованный сеансовый ключ, расшифровывает его закрытым ключом и расшифровывает файл. Все!
Сеансовый ключ ОБЯЗАН быть уникальным, иначе злоумышленник - идиот.
Ключ генерируется случайно для каждого файла, смешивается с солью, а после шифрования файла, сам шифруется открытым ключом RSA (который находится в Readme). После этого, сеансовый ключ для жертвы абсолютно бесполезен и может храниться в открытом виде. Скорее всего он дописывается в начало или конец каждого зашифрованного файла. Плюс, возможно, еще в начале файла ставится метка, что файл зашифрован.
Если жертва отсылает Readme злоумышленнику, то он запросто находит у себя пару к присланному открытому ключу (как известно, ключи RSA генерируются только парой), запихивает этот ключ в утилиту расшифрования и высылает жертве.
Утилита, найдя файл (скорее всего по метке), извлекает из него зашифрованный сеансовый ключ, расшифровывает его закрытым ключом и расшифровывает файл. Все!
тогда возникает вопрос. Если у злоумышленников есть дешифратор, то для дешифратора нужен секретный ключ (мы говорим об RSA). Откуда они берут секретный ключ, если данные на каждом компьютере шифруются уникальным ключом? Может им передаются секретные ключи для каждого компьютера каким-то образом? Мне в это мало верится.
Если все так, как вы говорите, то никакого дешифратора не может существовать.
Если все так, как вы говорите, то никакого дешифратора не может существовать.
Нужно применять ректалный криптоанализ к разработчику - быстрее можно ключ получить.
это вирусная реклама лаборатории касперского.
«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, объявляет о запуске международной инициативы «Stop Gpcode».
Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak - последней версии опасного вируса-шантажиста Gpcode.
Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.
Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.
Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.
Однако в новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.
«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.
http://www.kaspersky.ru/news?id=20773275…
По-моему, Касперский сошёл с ума.
Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak - последней версии опасного вируса-шантажиста Gpcode.
Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.
Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.
Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.
Однако в новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.
«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.
http://www.kaspersky.ru/news?id=20773275…
По-моему, Касперский сошёл с ума.
касперси мудак
Sign up to leave a comment.
Новый вирус Gpcode шифрует файлы ключом RSA-1024 и вымогает деньги за дешифратор, Kaspersky запускает проект «Stop Gpcode»