So, mein Urlaub ist vorbei… weiter gehts! Vor einiger Zeit habe ich bereits über den Verschlüsselungstrojaner GPcode geschrieben. Wie Heise berichtet, will Kaspersky ein Tool (StopGpcode2) entwickelt haben, welches unter “gewissen Umständen” vom Trojaner verschlüsselte Dateien wieder dekodiert. Mit einer Erfolgsquote von bis zu 80 Prozent! Das Windows-Programm benötigt dafür allerdings möglichst viele Paare aus verschlüsselten Dateien und den dazugehörigen Klartext. Diese können z.B. von einem Backup stammen. Brute-Force-Attacken gegen den RSA-Schlüssel des Erpressers, um die Masterschlüssel zu dechiffrieren, blieben bis jetzt erfolglos.

Tecnicamente si chiama Ransomware e rappresenta l’avanguardia degli attacchi informatici. Si tratta di una nuova generazione di Virus che una volta penetrati nel sistema non arrecano danni ma si limitano a cifrare con un algoritmo crittografico il contenuto di tutti i documenti presenti. Un breve file di testo viene poi creato in ogni cartella fornendo le informazioni per “comprare” la chiave di decriptazione. Si tratta insomma di un vero e proprio ricatto informatico.

Appartiene a questa specie anche Virus.Win32.Gpcode.ak, virus identificato e classificato da Kaspersky Lab. In questo caso il virus impiega una potente tecnica di cifratura RSA a 1024 bit e la sua presenza è evidenziata dalla comparsa di file “!_READ_ME_!.txt” che spiegano come recuperare i propri documenti

I ricercatori Kaspersky hanno dimostrato particolare allarme per la diffusione di Gpcode invitando le altre società concorrenti ma anche enti ed istituzioni a fare fronte comune per bloccare la diffusione del virus.

Fonte: blogs.dotnethell.it/vincent

<!– –>

Kaspersky Lab tuyên bố người dùng có thể dùng một ứng dụng khôi phục tệp tin mã nguồn mở đơn giản để khôi phục các tệp tin bị Trojan “bắt cóc tống tiền” mã hóa và xóa mất.

Ngày 8/6, hãng bảo mật có trụ sở tại Moscow đã phát đi cảnh báo người dùng về biến thể mới của con Trojan “bắt cóc tống tiền” Gpcode.ak. Đáng chú ý biến thể này có thể mã hóa tệp tin sử dụng khóa mã RSA 1024-bit. Kaspersky đã phải lên tiếng kêu gọi sự giúp đỡ của cộng đồng nhằm phá khóa mã này.

Cụ thể, Gpcode có thể mã hóa 143 loại tệp tin khác nhau trên PC bị lây nhiễm và xóa các tệp tin gốc đi trước khi cho hiển thị thông điệp yêu cầu người dùng phải trả tiền thì mới có thể lấy lại được các tệp tin đã bị mã hóa.

Chuyên gia nghiên cứu bảo mật Dancho Danchev cho biết mức tiền mà con Trojan này đòi người dùng phải trả để mua phần mềm giải mã hóa tệp tin là từ 100-200 USD.

Sau nhiều ngày nghiên cứu, Kaspersky đã tìm được một giải pháp giúp người dùng lấy lại các tệp tin đã bị mã hóa mà không phải trả tiền. “Hoàn toàn có thể khôi phục lại các tệp tin đã bị xóa nếu như ổ đĩa cứng chưa có thay đổi gì về cấu trúc dữ liệu”.

Một chuyên gia nghiên cứu của Kaspersky có nickname là VitalyK – trong một bài viết trên trang blog chính thức của hãng – cho biết người dùng hoàn toàn có thể sử dụng một ứng dụng khôi phục tệp tin đã bị xóa mất mã nguồn mở có tên là PhotoRec để lấy lại các tệp tin đã bị Gpcode xóa mất.

Khả năng trên là hoàn toàn có thể bởi khi lây nhiễm lên hệ thống Gpcode sẽ nhanh chóng mã hóa các tệp tin nằm trong khả năng của nó, xóa bản gốc của những tệp tin này và tự hủy nhằm tránh bị phát hiện. Chính vì thế người dùng không phải lo ngại các tệp tin được khôi phục sẽ lại bị mã hóa lần nữa.

Ngoài ra Kaspersky còn phát triển thêm một ứng dụng có tên StopGpcode kết hợp nhuần nhuyễn với PhotoRec giúp khôi phục không chỉ tệp tin mà cả tên đầy đủ các tệp tin như trước khi bị con Trojan này mã hóa.

Chuyên gia VitalyK thừa nhận việc phá khóa mã RSA 1024-bit của Gpcode dường như là một điều bất khả thi trừ phi có được khóa mã cá nhân của chính người tạo ra mã khóa đó.

Hãng bảo mật Kaspersky Lab cuối tuần qua đã phải lên tiếng kêu gọi sự giúp đỡ của cộng đồng để bẻ khóa cơ chế mã hóa 1024-bit RSA được tin tặc ứng dụng trong phiên bản mới Trojan “bắt cóc tống tiền” Gpcode.

Một khi con Trojan này đột nhập thành công vào PC nó sẽ ngay lập tức mã hóa các tệp tin. Tổng cộng Gpcode có thể mã hóa tới 143 loại tệp tin khác nhau như .bak, .doc, .jpg, .pdf … Các tệp tin sau khi bị mã hóa sẽ được thêm từ “_CRYPT” vào trong tên còn bản gốc sẽ bị hủy bỏ. Không những thế con Trojan sau khi hoàn thành nhiệm vụ cũng “tự tử” luôn nhằm tránh bị phát hiện.

Sau đó, thông điệp đòi tiền chuộc sẽ được cho hiển thị trên màn hình PC. “Các tệp tin dữ liệu của anh/chị đã bị mã hóa bằng thuật toán 1024-bit RSA. Để khôi phục lại anh/chị cần phải mua phần mềm giải mã. Xin hay liên hệ với chúng tôi qua địa chỉ email xxxx@yahoo.com, để mua phần mềm này”.

Con Trojan đã được Kaspersky phát hiện ngay sau khi nó bắt đầu phát tán không lâu. Tuy nhiên, hãng bảo mật này đã không thể phá được thuật toán mã khóa mà Gpcode đã sử dụng. Đáng chú ý khóa mã hóa mà Gpcode sử dụng lại được tạo ra bằng chính công cụ Enhanced Cryptographic Provider tích hợp sẵn trong hệ điều hành Microsoft Windows.

“Chúng tôi không thể giải mãi được các tệp tin đã bị mã hóa. RSA 1024-bit là một thuật toán mã hóa cực mạnh, rất khó có thể phá được. Chúng tôi chỉ có trong tay khóa công cộng chứ không có khóa cá nhân, nên không thể giải mã được các tệp tin đã bị mã hóa”.

Cuối cùng Kaspersky đã phải lên tiếng kêu gọi sự trợ giúp của cộng đồng. “Đây thực sự là một thách thức rất lớn. Chúng tôi ước tính phải cần đến khoảng 15 triệu PC cao cấp vận hành liên tục trong khoảng một năm mới đủ sức phá được khóa bảo mật 1024-bit này,” Aleks Gostev – chuyên gia phân tích mã độc hàng đầu của Kaspersky – cho biết.

“Chính vì thế mà chúng tôi kêu gọi các bạn – các chuyên gia mã hóa, các tổ chức khoa học, tổ chức chính phủ, hãng bảo mật, chuyên gia nghiên cứu bảo mật … – hãy cùng chung sức với chúng tôi để chiến đầu với Gpcode”.

Kể từ khi Gpcode xuất hiện cho đến nay nó đã liên tục được tin tặc cải tiến và không ngừng ứng dụng kỹ thuật mã hóa mới. Hai năm trước đây Gpcode ứng dụng khóa mã 660-bit nhưng Kaspersky đã may mắn phá được khóa này do kẻ lập trình Gpcode đã không cẩn thận trong việc ứng dụng thuật toán mã hóa.

Gpcode một lần nữa xuất hiện cuối mùa hè năm ngoái với cơ chế mã hóa được tuyên bố lên tới 4096-bit RSA.

Theo VnMedia

Theo nghiên cứu của hãng Kaspersky Lab: loại Virus Gpcode.ak đặc biệt nguy hiểm vừa được tìm ra này sẽ mã hóa các file có định dạng .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h với thuật toán RSA với độ dài khóa là 1024 bit.

Kaspersky Lab đã cập nhật biến thể này vào 15:39’ ngày 4/6/2008 (giờ GMT).

Trước đây, kaspersky Lab đã thành công trong việc xử lý virus Gpcode (xem tại: http://www.viruslist.com/en/analysis?pubid=189678219) khi mà các chuyên viên phân tích của hãng có thể bẻ được khóa riêng của thuật toán RSA sau khi thực hiện việc phân tích theo chiều sâu.

Hiện nay, các chuyên gia của Kaspersky Lab có thể bẻ được khóa riêng có độ dài 660 bit. Cũng cần biết rằng, để có thể bẻ được khóa có độ dài 660 bit, 1 máy tính cá nhân với CPU 2.2 GHz phải mất tới 30 năm. Lần này, tác giả của virus Gpcode đã cải tiến: các lỗi có trong nguyên bản đã được sửa lại và độ dài của khóa riêng trong RSA đã được tăng lên thành 1024 bit.

Tại thời điểm này, hãng Kaspersky Lab không thể phục hồi các file bị virus Gpcode mã hóa. Nguyên nhân là do chiều dài khóa quá lớn: 1024 bit và các chuyên viên phân tích vẫn chưa tìm thấy lỗi trong biến thể virus này.

Sau khi xâm nhập vào máy nạn nhân, virus Gpcode.ak sẽ thay đổi phần kiểu file thành ._CRYPT và chép vào 1 file tên là !_READ_ME_!.txt trong cùng thư mục. Trong file này tác giả virus thông báo rằng file của nạn nhân đã bị mã hóa và yêu cầu nạn nhân phải mua phần mềm mã hóa.

Trong trường hợp bị nhiễm loại virus này, Kaspersky Lab khuyến cáo nạn nhân không nên restart hay tắt máy mà hãy mau chóng chuyển sang 1 máy tính khác có kết nối Internet và liên lạc với hãng qua email:virus@kaspersky.vn.

Trong email, nạn nhân nên viết theo dạng sau:

- Thời gian bị lây nhiễm

- Mọi hoạt động nạn nhân đã làm 5’ trước khi bị nhiễm virus này, bao gồm:

+ Các chương trình đã chạy.

+ Các trang web đã truy cập

Kaspersky Lab cho biết sẽ cố gắng phục hồi dữ liệu bị phá hoại.

Hiện tại, các chuyên viên phân tích của Kaspersky Lab vẫn đang nỗ lực làm việc để có thể tìm ra cách tốt nhất phục hồi lại dữ liệu bị virus phá hoại. Hãng khuyến cáo người dùng internet đặt mức bảo vệ tối đa cho phần mềm diệt virus cũng như cẩn trọng trước các trang web hay email lạ.

Kaspersky Lab vừa phát hiện được phiên bản mới của virus “chuyên gửi mail chứa mã độc” Gpcode – hay còn gọi là Virus.Win32.Gpcode.ak.

Biến thể mới của Virus Gpcode này sẽ mã hóa toàn bộ file .DOC, TXT, PDF, XLS, JPG, PNG, CPP, H trong ổ cứng với thuật toán RSA với độ dài của khóa là 1024 bit.

Sau khi mã hóa toàn bộ file xong, virus này sẽ để lại 1 file chứa lời nhắn như sau: Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com

Lời nhắn này nghĩa là : toàn bộ file của bạn đã được mã hóa. Để có thể giải mã dữ liệu của bạn, bạn phải mua phần mềm của chúng tôi. Vui lòng liên hệ ở địa chỉ : ********@yahoo.com

Tính tới thời điểm này, Kaspersky Lab chỉ có thể phát hiện và diệt loại biến thể virus này nhưng chưa thể crack khóa 1024 bit để đưa file mã hóa trở về nguyên trạng thái ban đầu. Các chuyên viên phân tích của Kaspersky Lab đang tiếp tục làm việc để giải quyết vấn đề này.

Kaspersky Lab khuyến cáo người dùng Internet nên để chế độ bảo vệ tối đa trước các loại mã nguy hiểm và không chạy các chương trình không rõ nguồn gốc.

Hiện tại Virus.Win32.Gpcode.ak đã được Kaspersky Lab cập nhật vào ngày 4/6/2008 lúc 15:39 (giờ GMT). Hãy kiểm tra để biết máy tính của bạn đã được cập nhật tính năng của Kaspersky Lab diệt virus nguy hiểm này chưa ?

Các thông tin tiếp theo về Virus Gpcode có tại địa chỉ : http://www.kaspersky.vn

]]> http://pandasecurityus.wordpress.com/2008/06/13/host-intrusion-prevention-behaviroal-analysis/ Fri, 13 Jun 2008 18:57:41 +0000 Ryan Sherstobitoff http://pandasecurityus.wordpress.com/2008/06/13/host-intrusion-prevention-behaviroal-analysis/ http://prezidentp.wordpress.com/2008/06/12/gpcode-ransomware/ Thu, 12 Jun 2008 06:45:28 +0000 prezidentp http://prezidentp.wordpress.com/2008/06/12/gpcode-ransomware/

What the you say – well how about I say that this is the new virus out there on the market – my sources have told me to be very aware – and in today’s soceity its scary to see we still have people unsecured out there.

Mind you while I was last in Melbourne I used an unsecured network to browse the web – but thats another story! So the GPcode ransomware is the new virus out there on the market – or should I say Trojan? This latest virus uses 1024 bit encryption to lock your computer and hold it up for Ransom – think of a Die Hard movie but worse!

It would take 15 million computers a full year to run through the encryption thats being used and yet people arent running around and screaming yet – well we should be aware that its out there and for those interested in joining me and everyone else who knows something about hacking / networking / encryption go to the following site Kasperky SOS GPCode 

If you are interested in joining my Alias is Proxy Cell so let me know by comment and get everyone to help as much as you can!

This isn’t new, but worrying. A ransomware virus from over a year ago, called ‘gpcode’ has resurfaced. The new version is called ‘gpcode.ak’.

What’s interesting about this virus is that, when infection occurs, it encrypts a victim’s documents (.doc, .pdf, etc) and leaves a ransom note on the computer demanding money in return for the decryption key. The original version of this particular virus used a 660-bit asymmetric key which was eventually cracked, but this new version uses 1024-bits. The internet security company Kaspersky has stated:

“Along with antivirus companies around the world, we’re faced with the task of cracking the RSA 1024-bit key. This is a huge cryptographic challenge. We estimate it would take around 15 million modern computers, running for about a year, to crack such a key.”

Obviously this is very bad news for anyone infected by gpcode.ak, but it does provide some evidence as to the strength of good cryptography. For example, in the OpenVPN guide I’m putting together, I recommend using a 2048-bit key for certificate generation. That’s 2^1024 harder to crack than a 1024-bit key and, going on Kaspersky’s calculation, it would take 15 million modern computers 2^1024 years to crack. While computers are always becoming more powerful, this sort of key strength will surely remain safe for some time to come.

There’s a good page explaining all the details of gpcode.ak here.

Zur Zeit ist laut Kaspersky eine neue Version des Verschlüsselungstrojaners GPCode unterwegs, der DOC, TXT, PDF, XLS, JPG, PNG, C und viele andere Dateien auf einem infizierten System mit dem RC4 Algorithmus verschlüsselt, berichtet Heise. Der dafür benutzte Schlüssel ist mit RSA 1024 geschützt. Betroffene Anwender können sich entweder mit dem Entwickler in Kontakt setzen und ein Entschlüsselungsprogramm kaufen oder den Schlüssel selbst finden, was wohl nicht so einfach sein dürfte. Experten gehen davon aus, daß man bei 15 Millionen Rechnern ein Jahr benötigt, um den Schlüssel zu finden, deshalb bittet Kaspersky um Hilfe. Im Forum von Kaspersky wir zur Zeit über das weitere Vorgehen diskutiert. Virenscanner mit aktuellen Signaturen erkennen den Trojaner. Auch wie ein Rechner infiziert wird, ist wohl noch nicht klar.