Вирус-шантажист Gpcode шифрует пользовательские данные
05 июня 2008     http://security.compulenta.ru/359061/

"Лаборатория Касперского" выявила новую версию "вируса-шантажиста" Gpcode (Virus.Win32.Gpcode.ak). Этот вирус шифрует пользовательские файлы с расширениями .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др. при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:
"Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@yahoo.com"
До сих пор экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.
До сих пор максимальная длина ключа RSA, который удалось "взломать" специалистам "Лаборатория Касперского", составляла 660 байт.
Сейчас специалисты "Лаборатории" вынуждены констатировать, что вскрыть ключ длиной в 1024 бита им не удаётся.
Пользователям, обнаружившим вышеприведённое сообщение на своих компьютерах, рекомендовано обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.
Сотрудники "Лаборатории Касперского" приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.
Платить же шантажистам не рекомендуется, поскольку никаких гарантий получения жертвой дешифратора нет и быть не может.


"Лаборатория Касперского" выступила с инициативой Stop Gpcode
09 июня 2008     http://security.compulenta.ru/359381/

Компания "Лаборатория Касперского" анонсировала инициативу Stop Gpcode, направленную на борьбы с вирусом-шантажистом Gpcode.
На прошлой неделе, напомним, "Лаборатория Касперского" обнаружила новую модификацию Gpcode, шифрующую пользовательские файлы с расширениями .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и некоторыми другими при помощи криптостойкого алгоритма RSA с длиной ключа 1024 бит. Владельцам инфицированных компьютеров вредоносная программа предлагает связаться со своими создателями и приобрести дешифратор.
Ранее "Лаборатории Касперского" уже приходилось сталкиваться с другими версиями вируса Gpcode, причем экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных. Однако вскрыть ключ длиной в 1024 бита "Лаборатории Касперского" пока не удается.
В рамках инициативы Stop Gpcode "Лаборатория Касперского" приглашает всех специалистов в области криптографии, правительственные и научные институты, а также другие антивирусные компании присоединиться к решению проблемы вскрытия криптографического ключа. "Лаборатория Касперского" готова предоставить любую дополнительную информацию, а для координации действий между участниками инициативы уже создан специальный форум Stop Gpcode.
Пользователям, чьи компьютеры пострадали от вируса Gpcode, не рекомендуется платить шантажистам. "Лаборатория Касперского" советует жертвам злоумышленников обратиться к экспертам компании, которые приложат все усилия, чтобы вернуть зашифрованную информацию.