Kaspersky Lab hoiatab ohtliku krüptoviiruse eest

Lauri Säde, 6, juuni 2008

Kaspersky Lab-i turvalabor avastas üleeile uue versiooni Gpcode viirusest. See erineb eelmisest Gpcode versioonist selle poolest, et kasutatakse eelmisega võrreldes tunduvalt keerulisemat, 1024-bitist võtit.
Viimane, 660-bitine võti õnnestus enamikel tutud viirusetõrjetel lahti murda, aga 1024 bitine võti on juba kõvem pähkel.
See viirus levib peamiselt spämmiga ja krüpteerib arvutis leiduvad tähtsamad (DOC, TXT, PDF, XLS, JPG, PNG, CPP, EXE jms) failid, nii et tavakasutaja neid enam avada ei saa. Avamise jaoks on aga vaja lahtikrüpteerijat, mida saab osta ainult viiruse autorilt.

Loe ka siit, siit ja seda.

Lisan veel Kaspersky Lab´i Eesti esindaja pressiteate:

TÄHELEPANU! Väga ohtlik viirus!

Menelon OÜ, Kaspersky Lab´i ametlik esindaja, teatab väga ohtliku viiruse – Gpcode – avastamisest.

Uue viiruse Virus.Win32.Gpcode.ak signatuur lisati viirustõrjebaasidesse 4. juunil 2008. Praegu pole võimalik kahjustatud faile dekrüpteerida, kuna viirus kasutab krüptimiseks lahtimurdmiskindlat RSA-algoritmi, mille võtme pikkus on 1024 bitti. Viirus krüptib paljudes vormingutes (DOC, TXT, PDF, XLS, JPG, PNG, CPP, H jt) kasutajafaile. Peale seda ilmub ekraanile ingliskeelne teade: “Teie failid on krüptitud RSA-1024 algoritmiga. Failide dekrüpteerimiseks on vaja salajast võtit. Selle saab osta aadressil: xyz@yahoo.com».

Kahjuks pole veel kindlaks tehtud viiruse levitamisteed, seetõttu soovitame lülitada sisse kõik kahjurprogrammivastased kaitsevahendid, mis teil on.

TÄHELEPANU! Kui te näete oma arvutis sellist teadet:

cpcode.png

…siis on seda arvatavasti rünnanud Gpcode.ak. Sellisel juhul üritage SÜSTEEMI TAASKÄIVITAMATA JA VÄLJALÜLITAMATA võtta meiega ühendust, kasutades teist internetiühendusega arvutit.

Kirjutage meile e-posti aadressil stopgpcode@kaspersky.com ja teatage nakatumise täpne kuupäev ja kellaaeg, samuti, mida te tegite arvutis viimase 5 minuti jooksul enne selle nakatumist: milliseid programme käivitasite, millist veebilehte külastasite. Me üritame aidata teile tagastada Å¡ifreeritud andmed.

Vaatamata tekkinud olukorra keerukusele, analüüsivad meie analüütikud viirust edasi ja otsivad võimalusi deÅ¡ifreerida faile ilma salajase võtmeta.

RSA-algoritm põhineb Å¡ifreerimisvõtmete jaotusel salajasteks ja avalikeks. RSA-algoritmiga Å¡ifreerimise printsiip kõlab: teate Å¡ifreerimiseks piisab vaid ühest avatud võtmest. Sellist teadet saab aga deÅ¡ifreerida vaid salajast võtit omades.

Sellel printsiibil põhineb ka viirus Gpcode. Ta Å¡ifreerib kasutajafaile omaenese kehas asuva avatud võtmega. Faile deÅ¡ifreerida saab ainult salajase võtme omanik ehk kahjurprogrammi Gpcode autor.

See pole esimene selline viirus, veel kaks aastat tagasi õnnestus Kaspersky Lab´il dekrüpteerida Gpcode eelmine versioon, mis kasutas 660-bitist RSA-võtit. Kuid seekord õppis kurjategija oma eelmistest vigadest ja ei korranud neid enam.

Kõik edasised täpsustused kajastuvad veebilehel: http://www.kaspersky.ee

13 kommentaari to “Kaspersky Lab hoiatab ohtliku krüptoviiruse eest”

  • Postitatud: juuni 9th, 2008 10:01

    Kalle Kiis

    Miks lugupeetud Arvutiaitse ürgvana Spy-d nüüd uue viiruse pähe pakub! Selle Spy tunnevad eri nimede (Aliaste) all ära kõikvõimalikud viirusetõrjed ja Spy-püüdjad.
    Hämmastav, kuidas Lp. Arvutikaitse ei suuda vahet teha uudisel ja kaelamääritud Kaspersky agressiivsel müügireklaamil.

  • Postitatud: juuni 9th, 2008 11:33

    Aare Kirna

    Gpcode on küll jah mitu aastat vana, kuid selle uus versioon kasutab tugevamat krüptot ning “agressiivne müügireklaam” tunnistab ju ise, et ei suuda nii pikka võtit enam lahti krüpteerida.
    Kasperski jutustas rohkem kui aasta tagasi Tallinnas käies, kuidas nende serveriklastril kulus 330-bitise võtme murdmiseks kolm päeva, 660-bitise võtme äraarvamine aga oli juba puhtalt õnneasi. 1024-bitise võtme murdmiseks vajalikku arvutusvõimsust minu teada maailmas hetkel veel ei olegi.

  • Postitatud: juuni 9th, 2008 13:17

    Kaur

    Juhul, kui suudetaks 1024 bitine võti lahti teha, oleks hoobiga ka ID kaart lahti murtud.

  • Postitatud: juuni 9th, 2008 13:41

    Aare Kirna

    No ma arvan, et aegsasti enne seda muutub ID-kaardi võti 2048-bitiseks.

  • Postitatud: juuni 9th, 2008 14:40

    Kaur

    Igatahes huvitav viirus, mis paneb RSA algoritmi proovile ja mul on tunne, et viirus ongi selleks loodud. Kui RSA algoritmi seest nüüd leitakse matemaatiline nõrkus, siis pööratakse sellega suur osa maailmast, pea peale. Eeldusel, et viirus pidevalt muudab võtit, lunarahaküsimine on pettus ja viirus saadab korda väga palju pahandust, siis tekib ka reaalne nõudlus RSA lahtiajamisele.

    Muide, Aare, kui homme tõepoolest tuleb teade, et RSA enam vett ei pea, terve algoritm kui selline, pole ka 2048 bitisest võtmest kasu. Mida teeb Sertifitseerimiskeskus siis?

  • Postitatud: juuni 9th, 2008 15:12

    Aare Kirna

    Kui homme tuleb teade, et RSA enam vett ei pea, on ID-kaardi turvalisus sinu kõige väiksem mure – torma parem kohe panka ja võta kogu oma sularaha välja. Kuni veel antakse. Ja kogu väljavõetud cash tuleks kulutada bensiini, tikkude ja muu esmatarviliku hankimiseks, et maailma rahanduse kokkukukkumine üle elada…

  • Postitatud: juuni 9th, 2008 17:15

    Palle

    Igatahes ei pea ei Norton ega McAfee seda mingiks ohtlikuks viiruseks. Nortoni tase on Very Low, McAfeel aga Low. Ja BitDefender ei pea seda viirust üleüldse mittemillekski.
    Ja see polegi tegelikult mingi viirus, vaid tegemist on Spy Troojaga, mida püüavad Spy-püüdjad, kas siis iseseisva Spy-tõkkena või mõnda viirusetõrjesse sisse ehitatuna.
    See oli hästi näha sellest, kuidas SpyBot ennast 06.06.08 uuendas.
    Nii, et eemalt vaadatuna pole tegu mitte millegi muuga, kui Kaspersky tiris viiruse paanikaga Eesti erinevatele meediatele Reklaamikoti pähe ja tegi seda seejuures täiesti tasuta!

  • Postitatud: juuni 10th, 2008 6:39

    Palle

    Uurisin veel üht olulist, kui mitte kõige olulisemat asja selle konkreetse Trooja (Gpcode) juures. See on siis levik ehk Areal ning sellel Troojal puudub praktiliselt igasugune leviala. Kuigi riske ja ohte just hinnatakse ja analüüsitakse justnimelt leviku ulatuse või massilisuse järgi.
    See on ikka täiesti hämmastav, kuidas nii lugupeetud ja tuntud seltskond, nagu Arvutikaitse.ee on, on langenud Delfi tasemele paanika tekitamises ja Kaspersky reklaamimises. Delfist saan ma veel aru – ajakirjanikule tehakse kallis restoranis praad ja siis kuulab ajakirjanik, juuksed püsti peas hirmust, neid õudusjutte mida Kaspersky PR-tegelane kokku jahvatab…
    Siit siis küsimus, et kas tulevikus saab arvutikaitse.ee lehelt lugeda reaalsete, tõsiseltvõetavate ohtude kohta. Või tegeletakse taas paanika üleskerimisega.

  • Postitatud: juuni 10th, 2008 8:06

    Lauri Säde

    Antud juhul võib tegu olla tõesti väikest leviala hõlmava Troojaga, aga on võimalus, et see Trooja hakkab massiivselt levima.Kui see juhtub, on hea, et inimesed teavad sellest juba ette 🙂
    Mõneti võib see uudis reklaam tunduda(kahtlemata on) kuid parem on ennetada, kui tagajärgi likvideerida.

  • Postitatud: juuni 10th, 2008 8:50

    Aare Kirna

    Palle, katsu nüüd palun mitte paanitseda 🙂 Kui järgid üldisi arvutikaitsmise võtteid, võid üsna rahulikult magada, ilma et peaksid nüüd ja kohe Kaspersky viirustõrje ära ostma.
    Loe ka http://community.ca.com/blogs/securityadvisor/archive/2008/06/09/we-call-it-ransomware-look-out.aspx

  • Postitatud: juuni 10th, 2008 15:50

    xyz

    Tasub ehk lugeda, kus Kaspersky naine temaga kohtus, ehk hakkavad mõned KAV/KIS peale teise pilguga vaatama, eriti veel arvestades eelmise aasta aprillisündmusi:

    http://www.kasperskyclub.com/en/content/view/3/16/

  • Postitatud: juuni 10th, 2008 18:57

    xyz

    http://blogs.zdnet.com/security/?p=1259

    Tuleb välja, et vene tatid on seal taga. Ei imesta, kui nende tattide ja Kaspersky firma vahel on link, kuid loomulikult seda ei leita kunagi.

  • Postitatud: juuni 10th, 2008 22:43

    xyz

    Vabandage, aga kohe kuidagi ei saa seda siia teemasse kirjutamata jätta, kuna see kõik on olnud Kaspersky reklaam 🙂

    Minnes Kaskersky.ee lehele, on uudis

    05.06.2008Gpcode on tagasi

    “Meie viirustõrjelabor on avastanud Gpcode´i nime all tuntud ohtliku viiruse uue versiooni. Viirus krüptib paljudes vormingutes (DOC, TXT, PDF, XLS, JPG, PNG, CPP, H jt) kasutajafaile. Lae tasuta prooviversioon alla siit…”

    See on tõesti tore, et Kasperesky Labs jagab selle huvitava viiruse prooviversiooni 😉

Kommenteeri

NB! Kommentaarid, mille tekstis on rohkem kui üks URL, tuleb toimetajal spämmifiltrist käsitsi ära päästa.

Läbu ja ropendamine kustutatakse!

Arvutikaitse is proudly powered by WordPress