Ransomware šifrujúci súbory v novej verzii, zvýšil výkupné na 125 dolárov

DSL.sk, 28.3.2011

GpCode, škodlivý kód typu ransomware šifrujúci súbory a vydierajúci majiteľov infikovaných PC, sa uplynulý týždeň objavil na Internete v novej verzii.

Upozornila na to spoločnosť Kaspersky Lab.

GpCode na rozdiel od viacerých iných vírusov snažiacich sa vydierať užívateľov predstavuje skutočnú hrozbu, keď pre šifrovanie súborov využíva aj asymetrické šifrovanie a týmto škodlivým kódom zašifrované súbory nie je v súčasnosti možné vo všeobecnosti obnoviť inak ako pomocou kľúča, ktorý môžu užívateľovi poskytnúť len tvorcovia GpCode.

Za poskytnutie softvéru na odšifrovanie a potrebného kľúča jedinečného pre každé PC ale tvorcovia GpCode požadujú zaplatenie výkupného.

GpCode sa pôvodne šíril v roku 2008, po dlhšej odmlke sa objavila jeho nová verzia na konci minulého roka. Oproti verzii z roku 2008 autori tento škodlivý kód výrazne vylepšili.

Namiesto symetrickej šifry RC4 používanej pre finálne šifrovanie obsahu súborov začali používať silnejší algoritmus AES-256, pri šifrovaní súborov tieto prepisujú namiesto mazania pôvodných a vytvárania nových šifrovaných. Pôvodné súbory tak už nie je možné ani teoreticky získať obnovením zmazaných súborov. Zároveň šifrované sú len začiatky súborov, ransomware tak dokáže rýchlejšie znehodnotiť viac súborov.

V novej tento týždeň identifikovanej verzii bolo uskutočnených viacero ďalších zmien. Použitý je vlastný algoritmus rozbaľovania škodlivého kódu, ktorý sťažuje jeho analýzu bezpečnostnými expertami. Hlavný použitý 1024-bitový RSA kľúč sa oproti verzii z konca minulého roka zmenil.

Osoby stojace za GpCode už požadujú platbu pomocou kariet Ukash oproti prevodu priamo na bankový účet a požadujú 125 namiesto 120 dolárov.

Inštrukcie pre zaplatenie nechané na desktope novou verziou GpCode (screenshot: Kaspersky Lab)

Schému fungovania verzie GpCode z roku 2008, ktorú serveru DSL.sk poskytli tvorcovia tohto škodlivého kódu, sme detailne popisovali v tomto článku. Podľa schémy GpCode na každom PC vytvoril náhodný hlavný 128-bitový RC4 kľúč. Pre každý jednotlivý súbor vytvára osobitný 128-bitový kľúč pre RC4 symetrické šifrovanie, ktorý je potrebný aby pri známom obsahu niektorého zo zašifrovaných súborov nebolo priamo možné zistiť generovaný keystream a použiť ho k odšifrovaniu ostatných súborov.

Pre vygenerovanie kľúča pre každý zo súborov je vygenerovaný náhodný 128-bitový blok, ktorý je zašifrovaný hlavným RC4 kľúčom. Následne je aplikovaný algoritmus SHA-1, 128 bitov z výsledku ktorého je použitých ako RC4 kľúč pre šifrovanie daného súboru. Do šifrovaného súboru je uložených aj náhodných 128 bitov vygenerovaných v prvom kroku pre tento súbor, aby bolo samozrejme možné so znalosťou hlavného RC4 kľúča súbor odšifrovať.

Hlavný RC4 kľúč GpCode zašifruje 1024-bitovým pevným verejným RSA kľúčom a uloží ho na disk do súboru s inštrukciami pre zaslanie výkupného.

Schéma GpCode z roku 2008 poskytnutá serveru DSL.sk tvorcami GpCode

GpCode sa aktuálne šíri cez infikované webové stránky. Po infikovaní počítača na desktope vytvorí súbor s inštrukciami pre zaslanie výkupného, zároveň prestaví pozadie pracovnej plochy na obrázok s textom o zašifrovaní súborov.

Podľa Kaspersky Lab sa pozadie prestaví skôr ako sú zašifrované všetky súbory, ktoré sa ransomware podľa svojej konfigurácie snaží zašifrovať. Preto je odporúčané okamžite po zistení zavírenia ransomwarom GpCode vypnúť počítač a minimalizovať tak množstvo zašifrovaných súborov.




Najnovšie články:



Diskusia:

Zalohovat, zalohovat, zalohovat... Od: anon | Pridané: 28.3.2011 8:23 ...na iny system (napr. Linuxove distro). A tiez kontrolovat ci su zalohovane subory OK (aby sa ransomware neprezradil, musi okolitym systemom ponukat nemodifikovane subory) Odpovedať Známka: 8.3 Hodnotiť:

Re: Zalohovat, zalohovat, zalohovat... Od: Slavius | Pridané: 28.3.2011 8:38 Kedze na Linuxovy server pristupujes (v 90% pripadov) cez CIFS (SAMBA) protokol a kvoli pohodlnosti si namapujes pismeno jednotky cudoval by som sa, keby neto ransomware nekukol aj na ine ako systemove disky... Odpovedať Známka: 10.0 Hodnotiť:

Re: Zalohovat, zalohovat, zalohovat... Od reg.: __Ondrej | Pridané: 28.3.2011 10:59 Kde sa dá stiahnuť ten GpCode? Zvyčajne sú tu aj odkazy. Odpovedať Známka: 8.7 Hodnotiť:

Re: Zalohovat, zalohovat, zalohovat... Od: lulz | Pridané: 28.3.2011 11:32 Tu, tu, tu a tu. Odpovedať Známka: 10.0 Hodnotiť:

Re: Zalohovat, zalohovat, zalohovat... Od: pribinacik | Pridané: 28.3.2011 13:44 two rums to room two two two Odpovedať Známka: 5.0 Hodnotiť:

To existuje Od: Ejkel el Boss Bosov | Pridané: 28.3.2011 8:32 To este existuje niekto kto nema na pocitaci nainstalovany antivirak? Odpovedať Známka: -9.1 Hodnotiť:

Re: To existuje Od reg.: featherlight | Pridané: 28.3.2011 8:37 neboj, su aj taki, co si stiahnu k tomu keygen s dalsimi 2ma trojanmi :) Odpovedať Známka: 8.9 Hodnotiť:

Re: To existuje Od: matti | Pridané: 28.3.2011 9:44 Yes Yes Yes Ups Odpovedať Známka: 6.5 Hodnotiť:

Re: To existuje Od: šťščť | Pridané: 28.3.2011 9:02 ja som dneska vymazal:) Odpovedať Známka: 8.7 Hodnotiť:

Re: To existuje Od: Meno musí mať dĺžku | Pridané: 28.3.2011 9:23 napriklad ja. a cuduj sa svete, uz aspon 10 rokov som nemal ziadny virus. Mam akurat dobre nastaveny firewall, ktory mi sleduje vsetky in/out transfery a nezname aplikacie nemaju sancu sa dostat na net. Ono to cele spociva v tom, ze treba browsovat po nete inteligentne a neklikat na kazde ok, next, i agree, install, ... A ked uz chcem nieco podozrive predsalen vyskusat, pustim to v sandboxe ;) Odpovedať Známka: 3.2 Hodnotiť:

Re: To existuje Od: užívateľ. | Pridané: 28.3.2011 11:17 nejako mi unika zmysel v dnesnej dobe (ked bezna konfikuracia ma niekolgo GB RAM a viacjadrove cpu) nepouzivat antivirus... firewall ti moze skodlivy kod napr vypnut... Odpovedať Známka: 1.4 Hodnotiť:

Re: To existuje Od: jupiii | Pridané: 28.3.2011 13:43 Nejako mi unika zmysel v dnesnej dobe (ked virusy vzniknu ovela skor, napachaju ovela vaznejsie skody, su ovela tazsie detegovatelne) pouzivat antivirus, ked mozes pouzivat ROZUM (ako pise ten nadomnou) a nezatazovat si system kravinou, ktora ma ucinnost za jeden rok odhadom 0.03% uspesne odchytenych virusov, bez ich aktivacie). Ked si kupis sud piva, tak ho tiez nebudes pit pomocou slamky do pohara. Aj ked su dnesne pocitace vyrazne vykonnejsie, tak ten antivirak tam je poznat. Antivirak sa da nastavit tak, aby znizenie vykonu bolo vyrazne nizsie, ako pri defaultnom nastaveni, ale naco si to tam davat, ked antivirak musi najprv poznat, ako virus funguje, aby ho mohol aspon odchytit. Myslis, ze sa vsetky novodobe virusy vyrabaju cez tri word sablony, ze antivirak ich dopredu spozna? Odpovedať Známka: 7.1 Hodnotiť:

Re: To existuje Od: jupiii | Pridané: 28.3.2011 13:50 Uz len vyjadrenie jedneho cloveka z ESETu, naznacuje pravdu: 1) ze druhy podvrhnutych "virusov" tzv. tvorcovia Zombie sieti nie su detegovatelne antivirakom. 2) Zombie siete (na principe proxy serverov, websluzbieb, tunelov) navyse sa nechovaju ako skodlivy kod. Su len zneuzitelne tretou stranou k pachaniu inej skodlivej cinnosti, kde uzivatel s jeho datami je nepodstatny. Odpovedať Známka: 6.0 Hodnotiť:

Re: To existuje Od: užívateľ. | Pridané: 28.3.2011 14:31 nechces pouzivat antivir, nepouzivaj. budes mat vecsi vykon Odpovedať Známka: -1.4 Hodnotiť:

Re: To existuje Od: jupiii | Pridané: 28.3.2011 15:30 Alebo ho budem mat vacsi... ale do toho ta uz nic! :) Odpovedať Známka: 5.6 Hodnotiť:

Re: To existuje Od: apurinko-blocked | Pridané: 28.3.2011 11:48 Mám hlúpeho klienta ktorý nikdy nepoužíval AVS teraz došiel o všetky dáta v rámci LAN, vyhľadilo mu NASku a všetky render nody + server + workstationy :-) servers him right...:D a to som mu chcel dať pred pol rokom MSE... Odpovedať Známka: 2.0 Hodnotiť:

Re: To existuje Od: jupiii | Pridané: 28.3.2011 13:54 Ale bezny uzivatel, a uzivatel "podnikatel" je rozdiel. Snad toto vsetko nepouzival na hranie Doom2, na browsovanie starej mamy, a na tlacenie vo velkom kancli (tiez jeden z mnoho prikladov). Odpovedať Známka: 6.0 Hodnotiť:

Re: To existuje Od: not sure | Pridané: 28.3.2011 19:03 if sirius Odpovedať Známka: 3.3 Hodnotiť:

Re: To existuje Od: xhjdjldjk | Pridané: 29.3.2011 0:05 pre toto mam nasko read only :) Odpovedať Známka: -3.3 Hodnotiť:

Re: To existuje Od: ehe | Pridané: 28.3.2011 9:27 nepoužívam antivirak už asi 3-4 roky a nemam žiaden problem... najlepši antivirus je medzi počitačom a stoličkou Odpovedať Známka: 3.6 Hodnotiť:

Re: To existuje Od: asdadldmkad | Pridané: 28.3.2011 18:02 jasne, ze hej,, napriklad u takych ako su moji rodicia. minule ma skoro vykotilo, ked mi oznamili, ze nasli super rusku stranku s pozadiami a screensavermi :DD Odpovedať Známka: 6.4 Hodnotiť:

zaloha mozno ani nestaci... Od: v fvswvgrres | Pridané: 28.3.2011 9:30 Toto je dosti zakerna vec. Ono ani zaloha asi nestaci ako obrana, lebo ked odzalohujem zasifrovanu verziu, tak si poseriem predoslu zalohu. Chcelo by to zalohu s historiou, teda daco ako verzionovaci sw (jazykovedne spravne to je asi verzovaci sw). Napada niekoho, ako zabranit takymto peknym virusom napadnut mapovane jednotky pre uzivatelov, ktori takto zalohuju/zdielaju veci medzia viacerimi PC? Pripadne nechat mapovany disk normnalne na zdielanie prace medzi PC a dane data z toho mapovaneho samba uloziska ukladat niekde na filesystem s verziami? (napr http://www.nilfs.org/en/ s vlastnostou continuous snapshotting) Odpovedať Známka: 6.7 Hodnotiť:

Re: zaloha mozno ani nestaci... Od: Deafboy_ | Pridané: 28.3.2011 9:59 Ako uz bolo spomenute, zalohovat na vzdialeny server a robit snapshoty filesystemu. Pripadne pouzit sluzbu ktora uchovava aj historiu zalohovanych suborov. Napr. dropbox ma uz tymto raz zachranil pri poskodenom subore. Odpovedať Známka: 7.5 Hodnotiť:

Re: zaloha mozno ani nestaci... Od reg.: Tupcek | Pridané: 28.3.2011 10:17 kiežby na Windowse bolo predinštalované niečo ako Tíme Machine. Nie, že by na to neexistovalo nič na Windowse, ale keďže to nie je predinštalované, takmer nikto to nepoužíva.. Odpovedať Známka: 7.5 Hodnotiť:

Re: zaloha mozno ani nestaci... Od: Erika Eleňjak | Pridané: 28.3.2011 12:18 Praveze existuje (vola sa to tusim System Restore), vdaka tomuto frajerka objavila video z kamosovej rozlucky so stripterkou. Potom to bola uz skoro moja rozlucka s nou. A to som si myslel, ze Shift-Del bude stacit. Hold podcenil som to. Odpovedať Známka: 2.9 Hodnotiť:

Re: zaloha mozno ani nestaci... Od: mio9963 | Pridané: 28.3.2011 12:49 blbosť čo píšeš.... system restore na osobne data vôbec nesiaha. asi si to zabudol vymazat... Odpovedať Známka: 0.0 Hodnotiť:

Re: zaloha mozno ani nestaci... Od: Erika Eleňjak | Pridané: 28.3.2011 14:08 no tak asi siaha :-) Odpovedať Známka: 4.0 Hodnotiť:

Re: zaloha mozno ani nestaci... Od: vgred | Pridané: 28.3.2011 18:05 windows dokaze vsetko,... zalezi na nastaveni... Nepouzivam ho len preto, lebo tie nastavenia su sialene neprehladne (pre mna)... Odpovedať Známka: 5.0 Hodnotiť:

zaloha mozno ani nestaci... Od: romancok | Pridané: 28.3.2011 10:10 na to verzovanie odporúčam DropBox - je to super služba na synchronizáciu súborov medzi viacerými počítačmi, ale práve v tomto prípade aj na verzovanie súborov a ak k takému niečomu dôjde, tak si ktorýkoľvek súbor obnovím cez web dropboxu na predošlú verziu a mám to v suchu :) A aj v prípade mazania súborov je v dropboxe história ich mazania, a ešte aj z toho sa dajú obnoviť :) 2GB priestoru je zadara, 8GB sa dá nazbierať za doporučenia známym(za každého zaregistrovaného 250MB) a väčšie si môžete zaplatiť... Ak mi chcete pomôcť zväčšiť priestor, budem rád - regnite sa cez môj referenčný odkaz a aj vy hneď dostanete 250MB zadara: http://db.tt/vEufn9x Ďakujem všetkým a zároveň vrelo odporúčam. Inak sem sú stránky pre tých, ktorí by mi väčší priestor nedopriali: www.dropbox.com Odpovedať Známka: 2.3 Hodnotiť:

Re: zaloha mozno ani nestaci... Od: ginnes1 | Pridané: 29.3.2011 1:15 vdaka za tip, v case diplomovky veeeelmi pomocna vec. I ked som v takychto veciach paranoik, bakalarku som mal zalohovanu 3x + online zaloha typu ulozisko, mail. no nevyplat taky tyzden pred odovzdanim :D Odpovedať Hodnotiť:

Re: zaloha mozno ani nestaci... Od: apofiSSo | Pridané: 29.3.2011 11:08 Super diky...tohto vikendu som premyslal ci si nieco take neregnem lebo stale uploadovat vsetky zmeny na FTP a potom v PC stahovat takto je to lepsie Ked budem na svojom NB tak si to regnem Odpovedať Hodnotiť:

Titulok Od reg.: Tupcek | Pridané: 28.3.2011 10:19 inak celkom sranda, že polícia sa nedokáže tak pustiť do toho prípadu, že by ich aj našli a ukončili vírus priamo v zdroji, no server dsl.sk nemá problém ich vyhľadať a kontaktovať :-) Odpovedať Známka: 7.8 Hodnotiť:

Re: Titulok Od: Snake :)) | Pridané: 28.3.2011 11:12 naletiet na to ze sa s nimi skontaktovali moze iba male decko. kaspersky a ine AV spolocnosti to nedokazali ale it server z krpateho slovenska to zvladne na supu. urcite... Odpovedať Známka: -2.5 Hodnotiť:

Re: Titulok Od: mio9963 | Pridané: 28.3.2011 12:50 hehe, mozno nemuseli ist daleko....:) Odpovedať Známka: 8.7 Hodnotiť:

Titulok Od: hg78968o7ykjghk | Pridané: 28.3.2011 11:07 CIFS/NFS zalohovanie to sice neriesi ale co tak AFP/FTP? za predpokladu ze udaje este niesu zakryptovane kazdy FTP zavrhuje dokonca niektori ISP povazuju za beznu inet prevazdku len HTTP/HTTPS a z dovodu pohodlia len malo kto doma pouziva na NAS FTP pripadne bezat nieco ine WebDAV :D? ale ten ma zase ine bezpecnostne problemy ze. Ten clovek co ma PC bez Antiviru si koleduje o problem FW neriesi ani XSS ani exploity na beznych strankach ani local media attacky. Zodpovedne browsovanie nieje imunita ale len aktivna prevencia ku ktorej rozhodne patri AV riesenie Odpovedať Známka: 7.1 Hodnotiť:

Re: Titulok Od reg.: Tupcek | Pridané: 28.3.2011 11:58 presne, niekto hackne dsl.sk a nahraje vírus využívajúci chybu v nejakom SW a FW sa môže strčiť. Jednak, že sa jedná o dôveryhodnú komunikáciu a jednak, že keď dokážu obísť sandboxing a podobné srandy, určite obídu aj otázku FW, či ich povolí spustiť. Aj keď ani AV nie je 100%, ale zvyšuje šance na bezpečné používanie :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: Titulok Od: ginnes1 | Pridané: 29.3.2011 1:20 bol som v tom, ze v sandboxe ,bez manualneho povolenia o presun suboru, ostane vsetko .....mylim sa? aspon doteraz sa mi zdala bezpecna kombinacia sandbox + comodo internet security...bordel z netu sa drzal zatial bokom, ale lepsie free riesenie nepoznam. ak niekto ano, nahodte Odpovedať Hodnotiť:

Antivir? Od: Milos23 | Pridané: 28.3.2011 12:15 Skusal som rozne antiviry... Jedine co nasli boli trojske kone v starych crackoch/keygenoch, ktore som mal na disku ako zaloha stareho PC. Ziadne dalsie cracky som nevyhladaval a antivirak sa v priebehu 3-5 rokov viac neozval. Teraz fungujem viac ako 3 roky bez antiviraku. Ked clovek vie ako funguje web, neklika na kazdu blikajucu hlasku a instaluje len to co skutocne potrebuje, tak je pravdepodobnost zavirenia velmi nizka. Ak sa niekto do PC vyzna viac, tak je antivirak zbytocny. Pred 3 rokmi som od niekoho dostal "vir" na USB kluci (asi ste sa s nim stretli, siri sa na vsetky disky/particie a vytvara autorun.inf). Do 1 hodiny som si s nim poradil bez antiviraku. Odpovedať Známka: -7.1 Hodnotiť:

Re: Antivir? Od: ... | Pridané: 28.3.2011 13:29 Tak a teraz vycikat a spat ty moj hrdina. Odpovedať Známka: 10.0 Hodnotiť:

Re: Antivir? Od: jupiii | Pridané: 28.3.2011 14:12 Velmi pozeras TV a Fica - tam tiez vidia hrozbu vsade, len nie problem u seba sameho. Pokial je to BFU a data si pravidelne zalohuje, tak ma takmer rovnaku pravdepodobnost si zavirit pocitac s antivirakom, ako aj bez neho. (doubleClick, FastClick a podobne omacky sa nepocitaju). Odpovedať Známka: -10.0 Hodnotiť:

Re: Antivir? Od: basorkana | Pridané: 28.3.2011 23:05 a ty zas vidis problem len v sebe a nic naokolo ti nevadi, si myslis ze vsetci ludia su dobri (az do konca)? Odpovedať Hodnotiť:

Re: Antivir? Od: jupiii | Pridané: 29.3.2011 14:38 Niektori ako ty vidia ciernobielo, a ostatni stale na sebe pracuju. Odpovedať Hodnotiť:

Re: Antivir? Od: basorkana | Pridané: 30.3.2011 13:15 presne o com hovorim... az do konca Odpovedať Hodnotiť:

Re: Antivir? Od: dch | Pridané: 29.3.2011 7:56 No ja som už zažil aj zavírenú "normálnu" stránku. A na takéto situácie už nejakú ochranu naozaj treba, lebo tam je človeku obozretnosť na.... Odpovedať Známka: 3.3 Hodnotiť:

changelog Od: ahl | Pridané: 28.3.2011 12:26 GpCode: new in version GpCode v1.1: - increased amount of ransom from 120USD to 125USD - other bug fixes Odpovedať Známka: 10.0 Hodnotiť:

Re: changelog Od: debilko-kot | Pridané: 28.3.2011 13:25 And where is the download link? Odpovedať Známka: 7.8 Hodnotiť:

omglol Od: azase | Pridané: 28.3.2011 13:13 tak to je uz ake zle ked nas vydiera kod :D Odpovedať Známka: 0.0 Hodnotiť:

sirenie Od: jozino | Pridané: 28.3.2011 13:27 Mna by teda zaujimalo ako sa to siri. Nieco viac, ako len spomenute "cez infikovane webove stranky". Odpovedať Známka: 7.1 Hodnotiť:

Re: sirenie Od: Stryco Fedro | Pridané: 28.3.2011 14:27 sak cez tie internety Odpovedať Známka: 10.0 Hodnotiť:

Re: sirenie Od: D_X | Pridané: 18.4.2011 3:48 radsej sa ani nepytaj....dam ti "tajneho" typa.... najdes si taku haved napriklad aj na nemenovanej stranke na online filmi (a netreba ti ani peckove filmi aby si toto nachytal!).uz to riesim cez 4 hodiny a viem ze nevyriesim.proste mam smolu.jedine stastie ze to bol priatelov notebook, co na tom nemeni fakt ze som prisla o 150 GB z externeho disku a mimo toho sa vsade pise ze taky externy by som uz nemala ani inde na cisty laptop zapajat...takze si s nim asi mozem ... ak by dakto vedel poradit ako sa dostat k datam s5,budem vdacna.(aj ked to sa asi uz nestane).a o rady typu mala si radsej pouzivat linux atd nestojim.viem mala mala,ale co z toho.a ani antivir mi nepomohol.a to som sa rozculovala ked som otcovi musela riesit laptop lebo nachytal 12 trojanov za 3 mesiace....zlaty konici....ti su proti tomuto jednohubky! Odpovedať Hodnotiť:

prihlásený užívateľ. Od: prihlásený užívateľ. | Pridané: 28.3.2011 16:48 Keby robili takéto kľúče na software, tak by zmenšili pirátske kópie softwérov minimálne o 50%. Odpovedať Známka: 3.3 Hodnotiť:

Autoři se pochlapili Od: Accuphose+ | Pridané: 28.3.2011 16:53 A svůj kód vylepšili ke spokojenosti. Tvůrci SW by si z nich mohli vzít příklad a možná by vyšlo konečně nějaké pořádné linux distro... Odpovedať Známka: 1.4 Hodnotiť:

Prispievajte do diskusií ako prihlásený užívateľ. Od: meff | Pridané: 29.3.2011 0:55 Dolar klesol kvoli inflacii, tak preto museli pytat viac. Odpovedať Hodnotiť:

Pridať komentár