Šifrujúci ransomware vydierajúci majiteľov PC je späť, požaduje 120 dolárov

DSL.sk, 2.12.2010

GpCode, škodlivý kód typu ransomware šifrujúci súbory a vydierajúci majiteľov infikovaných PC, sa aktuálne objavil v novej vylepšenej verzii.

Tento týždeň na to upozornila spoločnosť Kaspersky Lab.

GpCode sa naposledy objavoval v roku 2008, na rozdiel od iných vírusov snažiacich sa vydierať užívateľov predstavuje skutočnú hrozbu.

GpCode totiž po infikovaní PC šifruje súbory užívateľov kryptografickými algoritmami aj s využitím asymetrickej kryptografie. Pokiaľ tak užívateľovi tvorca škodlivého kódu neposkytne kľúč špecifický pre jeho PC, súbory nie je možné odšifrovať.

Schému fungovania verzie GpCode z roku 2008 serveru DSL.sk poskytli tvorcovia tohto ransomwaru. Podľa schémy GpCode na každom PC vytvorí náhodný hlavný 128-bitový RC4 kľúč. Pre každý jednotlivý súbor vytvára osobitný 128-bitový kľúč pre RC4 symetrické šifrovanie, ktorý je potrebný aby pri známom obsahu niektorého zo zašifrovaných súborov nebolo priamo možné zistiť generovaný keystream a použiť ho k odšifrovaniu ostatných súborov.

Pre vygenerovanie kľúča pre každý zo súborov je vygenerovaný náhodný 128-bitový blok, ktorý je zašifrovaný hlavným RC4 kľúčom. Následne je aplikovaný algoritmus SHA 1, 128 bitov z výsledku ktorého je použitých ako RC4 kľúč pre šifrovanie daného súboru. Do šifrovaného súboru je uložených aj náhodných 128 bitov vygenerovaných v prvom kroku pre tento súbor, aby bolo samozrejme možné so znalosťou hlavného RC4 kľúča súbor odšifrovať.

Po skončení všetkých šifrovacích operácií bol hlavný RC4 kľúč zašifrovaný 1024-bitovým pevným verejným RSA kľúčom používaným GpCode na každom PC a výsledok je uložený na disk.

Schéma poskytnutá serveru DSL.sk tvorcami GpCode

Nová verzia obsahuje podľa Kaspersky Lab niekoľko vylepšení. Namiesto RC4 používa silnejší AES-256, pri šifrovaní súborov tieto prepisuje namiesto mazania pôvodných a vytvárania nových šifrovaných. Pôvodné súbory tak už nie je možné ani teoreticky získať obnovením zmazaných súborov.

Zároveň šifrované sú len začiatky súborov, ransomware tak dokáže rýchlejšie znehodnotiť viac súborov.

Upozornenie zobrazované novou verziou GpCode (screenshot: Kaspersky Lab)

Ako sa šíri nová verzia GpCode spoločnosť Kaspersky Lab neinformuje, podľa informácií antivírusovej spoločnosti Sophos sa ale šíri okrem iného v podvrhnutých PDF využívajúcich zraniteľnosť Adobe Readeru.

Nová verzia GpCode požaduje za poskytnutie nástroja na dešifrovanie súborov 120 dolárov. GpCode obete upozorňuje, že ich súbory budú po niekoľkých dňoch zmazané, podľa Kaspersky Lab zrejme ale GpCode súbory v skutočnosti nemaže.

Kaspersky Lab odporúča užívateľom, ktorí si všimnú prítomnosť GpCode v počítači, čo najskôr počítač vypnúť, aby ransomware stihol zašifrovať čo najmenej súborov. Prítomnosť GpCode prezrádzajú poškodené súbory, GpCode tiež užívateľa aktívne upozorňuje textom zobrazovaným priamo na pracovnej ploche a pop-upom s informáciou o požadovaní výkupného.




Najnovšie články:



Diskusia:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: Cpx | Pridané: 2.12.2010 9:18 Nuz a to nevedia vypatrat toho vydieraca podla uctu? Odpovedať Známka: -1.4 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: ................... | Pridané: 2.12.2010 9:25 mozno je to ucet na Caymanoch ;) Odpovedať Známka: 9.3 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: Cpx | Pridané: 2.12.2010 10:42 ->ISTO<- Ale aj tak, sak niekto po to musi chodit nie? Odpovedať Známka: -3.3 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: nejako takto... | Pridané: 2.12.2010 11:58 nemusi. staci mu pravidelny prikaz na uhradu a peniaze mu automaticky budu chudit na dalsi tajny ucet, z ktoreho mu takto mozu chodit na niekolko dalsich tajnych uctov a skonci to mozno niekde az v nejakej malej nenapadnej charitativnej organizacii pre bezdomovcov v nejakom zapadakove odkial tie peniaze vybera 92 rocna organizatorka ktora pravidelne chodi do kostola, bibliu pozna naspamat aj od zadu este aj v latincine a je nahodou babicka priatelky skutocneho prijemcu tychto penazi tak ich tato babicka da svojej vnucke ktora ich da svojmu priatelovi - ktory ale nie je skutocnym autorom virusu, iba si tento virus dal naprogramovat a skutocnemu autorovi zaplatil uplne smiesnu sumu zatial co jemu takto idu peniazky pravidelne a uz ma niekde kupenu vilu a jachtu a uziva si prachy... Odpovedať Známka: 9.3 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: scenar. | Pridané: 2.12.2010 12:03 Hlupy scenar? Prave to je to. Cim hlupejsi scenar, tym pravdepodobnejsi. Pretoze ludia co maju najviac prachov su ti ktori budu najviac vykrikovat ze nemaju a budu schopni aj takychto spinavosti. V skutocnosti maju milionov jak nasratych, ale ludi budu vydierat o 120 dolarov a preco? pretoze jednoducho mozu a tym ze maju dost penazi, nikto ich nebude podozrievat ze su to prave oni. Odpovedať Známka: 10.0 Hodnotiť:

: - ( Od: Two-pak | Pridané: 2.12.2010 9:20 Botnety a spyware nepoviem, ale toto je uz vazne nepekne. Potriet zodpovednych surovym masom a predhodit od hladu umierajucim vlkom! Odpovedať Známka: 9.1 Hodnotiť:

....... Od: ................... | Pridané: 2.12.2010 9:25 poslite mi 20Eur, inak vas prispevok bude naveky zmazany :) Odpovedať Známka: 10.0 Hodnotiť:

Re: ....... Od: jdhhddhd | Pridané: 2.12.2010 9:35 fastmail.fm hmmmmm co to za email sluzbu? noze kto mate moznost spravit slovnikovy utok hacknite im mail :D Odpovedať Známka: 10.0 Hodnotiť:

este ze sirka je nepodstatna Od: kubci | Pridané: 2.12.2010 9:38 kazdy sa zivi ako vie? ja by som tie ucty na caymanoch zakazal a dal jedneho policajta VSADE.. tiez ma napadol scenar - strasne zahojeny magor ziviaci sa predajom kokainu na tony pride k pocitacu a zisti ze niekto chce 120 dolarov inak sa nedostane k svojmu oblubenemu filmu. je to samozrejme clovek ktoremu ide o princip - what do? dovolenka na caymanoch? Odpovedať Známka: -3.8 Hodnotiť:

Re: este ze sirka je nepodstatna Od: lolofo | Pridané: 2.12.2010 10:01 si predstav ze si nieo vytvoril, potrebujes to dostat rychlo na odovzdanie etc a teraz ti PC vypise ze daky debil ti to zahsloval a che zato 120kolacov, urcite by si bol nadseny Odpovedať Známka: 10.0 Hodnotiť:

Re: este ze sirka je nepodstatna Od: kubci | Pridané: 2.12.2010 10:08 svojpravnemu triezvemu cloveku ktory si uvedomuje co robi sa toto na jeho stanici nestane - prepac ale v tejto realite je chyba vzdy na strane poskodeneho - nevenoval dostatok prostriedkov prevencii. je to ako stazovat sa ze ta okradol zlodej v autobuse - DAVAJ SI VACSI POZOR. inak mozes riesit rovno korene zla... Odpovedať Známka: -6.4 Hodnotiť:

Re: este ze sirka je nepodstatna Od: lolofo | Pridané: 2.12.2010 10:48 to je vsetko fajn, ale nikdy nie je 100% istota ze niekde nieco nechytis, to by si musel mat PC odpojeny od internetu a nemohol by si tam pchat ziaden SW Odpovedať Známka: 5.8 Hodnotiť:

Re: este ze sirka je nepodstatna Od: ~~~~~~~~~ | Pridané: 2.12.2010 11:40 nepoužívaj winowze... Odpovedať Známka: -6.2 Hodnotiť:

Re: este ze sirka je nepodstatna Od: sldkfjlsdkfj | Pridané: 2.12.2010 16:37 toto ti nakodim aj na linux holt len private data ale tak - o tie predsa ide :) Odpovedať Známka: 7.5 Hodnotiť:

Re: este ze sirka je nepodstatna Od reg.: teo.sk | Pridané: 4.12.2010 19:11 no, ale nepovedal blbost.. windowze su najpouzivanejsie, preto to kodia na ne.. Nikto si nebude davat namahu kodit to na linux, kedze ho pouziva o obrovske percento mensia cast ludi, a navyse zvycajne viac IT vzdelana, ktora si aj tak vie dat pozor pred takymito utokmi, takze sa im ta namaha nevrati. Prave preto je to dovod nepouzivat windowze, ale na druhej strane, keby kazda lamka teraz presla na Ubuntu a pod., tak skor ci neskor sa to rozsiri aj na Linux. Takze chapem tie minusy, budme pekne linuxovi useri potisku :)) Odpovedať Známka: 10.0 Hodnotiť:

Re: este ze sirka je nepodstatna Od: pes | Pridané: 2.12.2010 13:17 aha, jasne. podla tvojej logiky ked zenu znasilni muz, je si ona sama na chybe. nemala chodit vyzyvavo oblecena... tvoj prispevok je zly v tolkych roznych bodoch, ze sa mi ich ani nechce vsetky vyvracat... Odpovedať Známka: 6.5 Hodnotiť:

Re: este ze sirka je nepodstatna Od reg.: Tupcek | Pridané: 3.12.2010 9:03 no neviem, ale ani najsvojpravnejší najtriezvejší človek nemá šancu používať SW bez chýb :) čo keby sa niekto dostal na servre tvojej obľúbenej stránky a do nejakého PDFka na tej stránke pridal svoj škodlivý kód...ak je fakt šikovní, administrátori si to nemusia všimnúť (nie je žiadna viditeľná zmena, jedine že by zanechal za sebou viditeľné stopy) a pekne cez chybu v SW sa to môže dostať aj ku tebe Odpovedať Hodnotiť:

Re: este ze sirka je nepodstatna Od: ................... | Pridané: 2.12.2010 10:08 keby som bol student, bol by som aj rad .. ze nemusim na nicom pracovat a mam vyhovorku :) Odpovedať Známka: -3.3 Hodnotiť:

Re: este ze sirka je nepodstatna Od: creaturex | Pridané: 2.12.2010 10:19 A mozno PRAVE preto niesi student... ;) Odpovedať Známka: 9.2 Hodnotiť:

Re: este ze sirka je nepodstatna Od: ................... | Pridané: 2.12.2010 10:47 .. vysku som uz uspecne ukoncil pred par rokmi ;) Odpovedať Známka: -3.3 Hodnotiť:

Re: este ze sirka je nepodstatna Od: vysoka skola. | Pridané: 2.12.2010 12:06 aj ja som chodil na vysoku skolu damy a pani.. ano dost vysoku ;-) Odpovedať Známka: 8.5 Hodnotiť:

Re: este ze sirka je nepodstatna Od: meff | Pridané: 2.12.2010 10:22 Keby som bol tvoj učiteľ, tak by ťa tvoj alibizmus nezachránil. Keď niečo tvoríš, tak si to pravidelne zálohuj. Odpovedať Známka: 7.4 Hodnotiť:

Re: este ze sirka je nepodstatna Od: Cpx | Pridané: 2.12.2010 10:45 Nove win 6.x su dost dobre vybavene UAC takze ak mas pod heslom admina a UAC na max + ty si iba user tak velky problem nemas. Odpovedať Známka: -2.0 Hodnotiť:

Re: este ze sirka je nepodstatna Od reg.: Tupcek | Pridané: 3.12.2010 8:58 neboj, chyby v SW sú všade, záleží len od šikovnosti daného autora...netuším, aké chyby sa nachádzajú v Adobe Reader, ale možno sa ten ransomware vie tváriť ako súčasť kódu Readeru a tým pádom na otváranie súborov a ich následne ukladanie mu netreba žiadne povolenie od UAC Odpovedať Hodnotiť:

Re: este ze sirka je nepodstatna Od: ................... | Pridané: 2.12.2010 10:49 zalohujem, ale malo ludi ma 2 kompy, kam si mozes disk pripojit a pracovat dalej s tym ze na danom kompe budu aj licencie na softy ;) .. a nebud hrdina, kazdy clovek pouziva alibi .. niekedy opravnene niekedy vramci zneuzivania ;) Odpovedať Známka: 8.0 Hodnotiť:

Re: este ze sirka je nepodstatna Od: lolofo | Pridané: 2.12.2010 10:47 no neviem ci by si bol nadseny keby si pisal zaverecnu pracu, mas ju napisanu, stravil si pri nej kopec casu, mas ju uz len zviazat a odovzdat a teraz mas dakemu debilovi zaplatit 120kolacov Odpovedať Známka: 8.0 Hodnotiť:

Re: este ze sirka je nepodstatna Od: creaturex | Pridané: 2.12.2010 10:49 ... a to ti este asi ani nezaruci, ze ti to za tych $120 desifruje :-D Odpovedať Známka: 10.0 Hodnotiť:

Re: este ze sirka je nepodstatna Od: ................... | Pridané: 2.12.2010 10:50 za 120 desifruje len abstrakt :) Odpovedať Známka: 10.0 Hodnotiť:

Re: este ze sirka je nepodstatna Od: ................... | Pridané: 2.12.2010 10:50 vacsina prac je z netu, tak si staci zapametat len link .. a kliknut na download and print tlacitko :)) Odpovedať Známka: -3.8 Hodnotiť:

Re: este ze sirka je nepodstatna Od: creaturex | Pridané: 2.12.2010 11:00 No to hej... mozno tak na strednej a zakladnej skole to tak urcite funguje... alebo samozrejme aj na VS typu "filozofia, historia etc.." Dnes uz si myslim, ze je rozumne vuzivat na rozsiahlejsie prace pravidelnu zalohu.. alebo pisat na gdocument.. zapamatat link si akurat tak mozes na niaky serial alebo film.. za to by mu asi nikto nezaplatil 120bugs... Odpovedať Známka: 3.3 Hodnotiť:

Re: este ze sirka je nepodstatna Od: ................... | Pridané: 2.12.2010 11:09 .. pise sa to 120 bucks .. inak pravdu mas, ja som ju tiez robil sam, sice je tam vzdy nejaka pouzita literatura, ale je tam aj vlastna tvorba, kedze nieco spravit treba ;) Odpovedať Známka: 7.1 Hodnotiť:

Re: este ze sirka je nepodstatna Od: pisacie stroje | Pridané: 2.12.2010 12:11 Boha ako tak citam treba zas vytiahnut pisacie stroje ;-) :D Odpovedať Známka: 10.0 Hodnotiť:

Re: este ze sirka je nepodstatna Od: lolofo | Pridané: 2.12.2010 14:50 ked podla noveho musis kazdu pracu uploadnut na net? kludne to mozes pisat aj perom na papier, ale aj tak to budes musiet preniest do elektronickej formy Odpovedať Známka: 10.0 Hodnotiť:

ffffffffffff Od: ffffffffffffff | Pridané: 2.12.2010 11:12 podla mna je to sikovny clovek......... ma svoje vedomosti a skusenosti ktore vyuzil a ukazal zase raz svetu ze co moze prist .. pride. .. raz.... bohuzial je to tak svet je komplikovany a taketo veci ho len posilnuju..... tesme sa na vojnu...... lol Odpovedať Známka: -4.5 Hodnotiť:

Re: ffffffffffff Od: Budovi | Pridané: 2.12.2010 11:39 Alebo pouzivajme linux :) (nedocital som sa ale urcite je to zas windows only virus a linux ostal "diskriminovany" :D ) Odpovedať Známka: 2.5 Hodnotiť:

Re: ffffffffffff Od: rouen | Pridané: 2.12.2010 11:58 ak bude mat linux taky trhovy podiel ako windows, budu pren taketo srandicky uplne rovnako... alebo potom prejdes opat na nejaky OS s trhovym podielom na urovni statistickej chyby? :) Odpovedať Známka: 3.3 Hodnotiť:

Re: ffffffffffff Od: ................... | Pridané: 2.12.2010 13:19 dobre si mu nalozil .. ked je v mensine, myslis ze je vynimocny a vydrbe so systemom :) .. ale vydrbava tak akurat sam so sebou ze sa ukracuje o mnoho moznosti :) Odpovedať Známka: -7.1 Hodnotiť:

Re: ffffffffffff Od: Mukku | Pridané: 2.12.2010 17:07 Myslim, ze by mal niekto nalozit tebe... Odpovedať Známka: 5.6 Hodnotiť:

Re: ffffffffffff Od: da89798 | Pridané: 2.12.2010 20:43 nie som gay, takze ta neuspokojim v tomto smere .. Odpovedať Známka: -10.0 Hodnotiť:

Re: ffffffffffff Od reg.: teo.sk | Pridané: 4.12.2010 19:13 hahaha, ukracuje o mnoho moznosti? :D hahaha! Odpovedať Hodnotiť:

Re: ffffffffffff Od: FFFxxx | Pridané: 2.12.2010 13:22 Linux sa pouziva takmer na vsetkych serveroch, superpocitacoch a cca 2% desktopoch... Este stale si stojis za tym "trhovym podielom na urovni statistickej chyby"? Odpovedať Známka: 6.4 Hodnotiť:

Re: ffffffffffff Od: ................... | Pridané: 2.12.2010 14:06 nikto sa tu nebavi o serveroch .. toto je webstranka urcena pre ludi so vseobecnym vzdelanim a diskusie su na urovni userov nie administratorov .. a ktora distribucia linuxu ma 2% ? Odpovedať Známka: -4.5 Hodnotiť:

Re: ffffffffffff Od: meno je už zaregistrované | Pridané: 2.12.2010 18:34 tým chceš povedať, že keď bude mať linux večší trhový podiel, tak začne redhat pridávať vírusi do repozitárov ?... Odpovedať Známka: 4.5 Hodnotiť:

Re: ffffffffffff Od: Re: ffffffffffff | Pridané: 3.12.2010 9:11 Dobreee ;-) :D Odpovedať Známka: 3.3 Hodnotiť:

Re: ffffffffffff Od reg.: Tupcek | Pridané: 3.12.2010 9:11 To je taká blbosť, že až to bolí, je to čistá neschopnosť Microsoftu. Majú asi tak 50 krát vyššie príjmy ako Apple z Mac OS a niekoľko tisíc krát vyššie príjmy z predaja desktopových verzií ako všetky Linuxové distribúcie dokopy (keďže väčšina Linuxových používateľov ich majú zadarmo a aj tak ich je všetkých dokopy okolo 1% z trhu). Jak to, že je len kúsok ťažšie sa dostať do Windowsu ako do iného OS? Čo s tými peniazmi robia? Pokiaľ by bol Windows tak dobre zabezpečený, tak podiel-nepodiel aj tak by som robil vírusy pre Mac a Linux, pretože na Windows by dokázalo spraviť vírus len pár géniov, na ostatné OS aj schopnejší človek...a lepšie pár percent trhu ako nič. Veľmi si prajem nech hocijaká konkurencia získa aspoň 30% trhu a potom uvidíme! Odpovedať Hodnotiť:

tasko kamo tasko Od: cuco riedky | Pridané: 2.12.2010 14:00 tento virus mi moze vylizat prdel aj so svojim autorom..mam kryptovane disky ..tak tasko mi nieco zahesluje ten pablb! hehehe Odpovedať Známka: -10.0 Hodnotiť:

Re: tasko kamo tasko Od: heroides | Pridané: 2.12.2010 14:09 No podlamna by si bol aj rad keby sa tvorca tohto virusu o teba zaujimal a skusal ta vydierat ale nikdo o teba zaujem nejaví. Tak len čakáš a čakáš... Odpovedať Známka: 10.0 Hodnotiť:

Re: tasko kamo tasko Od: ................... | Pridané: 2.12.2010 14:55 .. ty si jeden z tych co kuka stranku nobrain.dk ze ? :) Odpovedať Známka: 10.0 Hodnotiť:

Re: tasko kamo tasko Od reg.: pocitujlasku | Pridané: 2.12.2010 21:54 kryptovane mozes mat, ale ked po prihlaseni s nimi normalne pracujes, tak presne tak isto pracuje so subormi aj virus. Teda dosiahnes akurat vyssi stupen kryptovania. Virus a ten tvoj (tipujem truecrypt). Odpovedať Známka: 10.0 Hodnotiť:

tupci Od: alexov | Pridané: 2.12.2010 14:54 To očom tu točíte!!! ved ten škodlivý software, sa vyrába na zakázku Antivirusových spoločností!!! asi im klesaju tržby tak museli pritvrdit Odpovedať Známka: 2.0 Hodnotiť:

Re: tupci Od: RST | Pridané: 2.12.2010 21:34 No hlavne ESET Odpovedať Hodnotiť:

;) farmar hlada zenu :)) je lepsia tema na pobavenie Od: mareksn | Pridané: 3.12.2010 8:41 ked si niekto vazi svoje data v istych suboroch tak ich nema ulozene len tak na standardnom - nezabezpecenom disku. Inac zaujimava debata ;))) Odpovedať Hodnotiť:

Re: ;) farmar hlada zenu :)) je lepsia tema na pobavenie Od reg.: Tupcek | Pridané: 3.12.2010 9:19 Ak myslíš zabezpečením šifrovanie, tak to nie je problém, keďže pri používaní si ich sám dešifruješ. Šifrovanie je na to, aby bola nutná tvoja spoluúčasť. Ak myslíš zálohovanie, tak to hej :) Problém je, že na Windowse zálohujú len máloktorí advanced users (ostatní tak akurát pri preinštalovaní OS raz za pár rokov). Linuxáci sú obvykle advanced users, takže tam ich asi zálohuje viac a Mac má skvelý predinštalovaný program, takže tam zálohuje aj väčšina BFU. Odpovedať Hodnotiť:

Vyjadrenie Od: Vyjadrenie | Pridané: 3.12.2010 9:24 Mna by zaujimalo vyjadrenie takych spolocnosti ako Avira, pripadne G DATA, ale myslim si ze to zmietnu pod koberec ako tu vystrahu ked islo o potencialne skodlivy kod znamy cca desat rokov pri zneuziti ktoreho by bol virus schopny vyradit z prevadzky väcsinu antivirov vcetne tych ktore su dnes povazovane za najlepsie. Odpovedať Známka: 3.3 Hodnotiť:

Re: Vyjadrenie Od: Cudo | Pridané: 4.12.2010 18:10 Žeby Kaspersky už nevedel ako si privyrobť??? Odpovedať Hodnotiť:

Pridať komentár