neprihlásený Pondelok, 23. októbra 2017, dnes má meniny Alojza   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Ransomware šifrujúci súbory v novej verzii, zvýšil výkupné na 125 dolárov

DSL.sk, 28.3.2011


GpCode, škodlivý kód typu ransomware šifrujúci súbory a vydierajúci majiteľov infikovaných PC, sa uplynulý týždeň objavil na Internete v novej verzii.

Upozornila na to spoločnosť Kaspersky Lab.

GpCode na rozdiel od viacerých iných vírusov snažiacich sa vydierať užívateľov predstavuje skutočnú hrozbu, keď pre šifrovanie súborov využíva aj asymetrické šifrovanie a týmto škodlivým kódom zašifrované súbory nie je v súčasnosti možné vo všeobecnosti obnoviť inak ako pomocou kľúča, ktorý môžu užívateľovi poskytnúť len tvorcovia GpCode.

Za poskytnutie softvéru na odšifrovanie a potrebného kľúča jedinečného pre každé PC ale tvorcovia GpCode požadujú zaplatenie výkupného.

GpCode sa pôvodne šíril v roku 2008, po dlhšej odmlke sa objavila jeho nová verzia na konci minulého roka. Oproti verzii z roku 2008 autori tento škodlivý kód výrazne vylepšili.

Namiesto symetrickej šifry RC4 používanej pre finálne šifrovanie obsahu súborov začali používať silnejší algoritmus AES-256, pri šifrovaní súborov tieto prepisujú namiesto mazania pôvodných a vytvárania nových šifrovaných. Pôvodné súbory tak už nie je možné ani teoreticky získať obnovením zmazaných súborov. Zároveň šifrované sú len začiatky súborov, ransomware tak dokáže rýchlejšie znehodnotiť viac súborov.

V novej tento týždeň identifikovanej verzii bolo uskutočnených viacero ďalších zmien. Použitý je vlastný algoritmus rozbaľovania škodlivého kódu, ktorý sťažuje jeho analýzu bezpečnostnými expertami. Hlavný použitý 1024-bitový RSA kľúč sa oproti verzii z konca minulého roka zmenil.

Osoby stojace za GpCode už požadujú platbu pomocou kariet Ukash oproti prevodu priamo na bankový účet a požadujú 125 namiesto 120 dolárov.


Inštrukcie pre zaplatenie nechané na desktope novou verziou GpCode (screenshot: Kaspersky Lab)



Schému fungovania verzie GpCode z roku 2008, ktorú serveru DSL.sk poskytli tvorcovia tohto škodlivého kódu, sme detailne popisovali v tomto článku. Podľa schémy GpCode na každom PC vytvoril náhodný hlavný 128-bitový RC4 kľúč. Pre každý jednotlivý súbor vytvára osobitný 128-bitový kľúč pre RC4 symetrické šifrovanie, ktorý je potrebný aby pri známom obsahu niektorého zo zašifrovaných súborov nebolo priamo možné zistiť generovaný keystream a použiť ho k odšifrovaniu ostatných súborov.

Pre vygenerovanie kľúča pre každý zo súborov je vygenerovaný náhodný 128-bitový blok, ktorý je zašifrovaný hlavným RC4 kľúčom. Následne je aplikovaný algoritmus SHA-1, 128 bitov z výsledku ktorého je použitých ako RC4 kľúč pre šifrovanie daného súboru. Do šifrovaného súboru je uložených aj náhodných 128 bitov vygenerovaných v prvom kroku pre tento súbor, aby bolo samozrejme možné so znalosťou hlavného RC4 kľúča súbor odšifrovať.

Hlavný RC4 kľúč GpCode zašifruje 1024-bitovým pevným verejným RSA kľúčom a uloží ho na disk do súboru s inštrukciami pre zaslanie výkupného.


Schéma GpCode z roku 2008 poskytnutá serveru DSL.sk tvorcami GpCode



GpCode sa aktuálne šíri cez infikované webové stránky. Po infikovaní počítača na desktope vytvorí súbor s inštrukciami pre zaslanie výkupného, zároveň prestaví pozadie pracovnej plochy na obrázok s textom o zašifrovaní súborov.

Podľa Kaspersky Lab sa pozadie prestaví skôr ako sú zašifrované všetky súbory, ktoré sa ransomware podľa svojej konfigurácie snaží zašifrovať. Preto je odporúčané okamžite po zistení zavírenia ransomwarom GpCode vypnúť počítač a minimalizovať tak množstvo zašifrovaných súborov.


      Zdieľaj na Twitteri



Najnovšie články:

Nový spôsob detekovania zemetrasení, pomocou existujúcich optických vlákien
Štát začína reagovať na vážny problém eID primeranejšie, zastavuje vydávanie certifikátov
Česká pirátska strana s megaúspechom, do parlamentu ide 22 poslancov
Samsung má pripravený už 8-nm výrobný proces
Zoznam .sk stránok ťažiacich kryptomenu a zaťažujúcich váš počítač


inzercia



Diskusia:
                               
 

...na iny system (napr. Linuxove distro). A tiez kontrolovat ci su zalohovane subory OK (aby sa ransomware neprezradil, musi okolitym systemom ponukat nemodifikovane subory)
Odpovedať Známka: 8.3 Hodnotiť:
 

Kedze na Linuxovy server pristupujes (v 90% pripadov) cez CIFS (SAMBA) protokol a kvoli pohodlnosti si namapujes pismeno jednotky cudoval by som sa, keby neto ransomware nekukol aj na ine ako systemove disky...
Odpovedať Známka: 10.0 Hodnotiť:
 

Kde sa dá stiahnuť ten GpCode? Zvyčajne sú tu aj odkazy.
Odpovedať Známka: 8.7 Hodnotiť:
 

Tu, tu, tu a tu.
Odpovedať Známka: 10.0 Hodnotiť:
 

two rums to room two two two
Odpovedať Známka: 5.0 Hodnotiť:
 

To este existuje niekto kto nema na pocitaci nainstalovany antivirak?
Odpovedať Známka: -9.1 Hodnotiť:
 

neboj, su aj taki, co si stiahnu k tomu keygen s dalsimi 2ma trojanmi :)
Odpovedať Známka: 8.9 Hodnotiť:
 

Yes Yes Yes Ups
Odpovedať Známka: 6.5 Hodnotiť:
 

ja som dneska vymazal:)
Odpovedať Známka: 8.7 Hodnotiť:
 

napriklad ja. a cuduj sa svete, uz aspon 10 rokov som nemal ziadny virus. Mam akurat dobre nastaveny firewall, ktory mi sleduje vsetky in/out transfery a nezname aplikacie nemaju sancu sa dostat na net.
Ono to cele spociva v tom, ze treba browsovat po nete inteligentne a neklikat na kazde ok, next, i agree, install, ...
A ked uz chcem nieco podozrive predsalen vyskusat, pustim to v sandboxe ;)
Odpovedať Známka: 3.2 Hodnotiť:
 

nejako mi unika zmysel v dnesnej dobe (ked bezna konfikuracia ma niekolgo GB RAM a viacjadrove cpu) nepouzivat antivirus... firewall ti moze skodlivy kod napr vypnut...
Odpovedať Známka: 1.4 Hodnotiť:
 

Nejako mi unika zmysel v dnesnej dobe (ked virusy vzniknu ovela skor, napachaju ovela vaznejsie skody, su ovela tazsie detegovatelne) pouzivat antivirus, ked mozes pouzivat ROZUM (ako pise ten nadomnou) a nezatazovat si system kravinou, ktora ma ucinnost za jeden rok odhadom 0.03% uspesne odchytenych virusov, bez ich aktivacie).

Ked si kupis sud piva, tak ho tiez nebudes pit pomocou slamky do pohara. Aj ked su dnesne pocitace vyrazne vykonnejsie, tak ten antivirak tam je poznat. Antivirak sa da nastavit tak, aby znizenie vykonu bolo vyrazne nizsie, ako pri defaultnom nastaveni, ale naco si to tam davat, ked antivirak musi najprv poznat, ako virus funguje, aby ho mohol aspon odchytit.

Myslis, ze sa vsetky novodobe virusy vyrabaju cez tri word sablony, ze antivirak ich dopredu spozna?

Odpovedať Známka: 7.1 Hodnotiť:
 

Uz len vyjadrenie jedneho cloveka z ESETu, naznacuje pravdu:
1) ze druhy podvrhnutych "virusov" tzv. tvorcovia Zombie sieti nie su detegovatelne antivirakom.
2) Zombie siete (na principe proxy serverov, websluzbieb, tunelov) navyse sa nechovaju ako skodlivy kod. Su len zneuzitelne tretou stranou k pachaniu inej skodlivej cinnosti, kde uzivatel s jeho datami je nepodstatny.
Odpovedať Známka: 6.0 Hodnotiť:
 

nechces pouzivat antivir, nepouzivaj. budes mat vecsi vykon
Odpovedať Známka: -1.4 Hodnotiť:
 

Alebo ho budem mat vacsi... ale do toho ta uz nic! :)
Odpovedať Známka: 5.6 Hodnotiť:
 

Mám hlúpeho klienta ktorý nikdy nepoužíval AVS teraz došiel o všetky dáta v rámci LAN, vyhľadilo mu NASku a všetky render nody + server + workstationy :-)

servers him right...:D a to som mu chcel dať pred pol rokom MSE...
Odpovedať Známka: 2.0 Hodnotiť:
 

Ale bezny uzivatel, a uzivatel "podnikatel" je rozdiel. Snad toto vsetko nepouzival na hranie Doom2, na browsovanie starej mamy, a na tlacenie vo velkom kancli (tiez jeden z mnoho prikladov).
Odpovedať Známka: 6.0 Hodnotiť:
 

if sirius
Odpovedať Známka: 3.3 Hodnotiť:
 

pre toto mam nasko read only :)
Odpovedať Známka: -3.3 Hodnotiť:
 

nepoužívam antivirak už asi 3-4 roky a nemam žiaden problem... najlepši antivirus je medzi počitačom a stoličkou
Odpovedať Známka: 3.6 Hodnotiť:
 

jasne, ze hej,, napriklad u takych ako su moji rodicia. minule ma skoro vykotilo, ked mi oznamili, ze nasli super rusku stranku s pozadiami a screensavermi :DD
Odpovedať Známka: 6.4 Hodnotiť:
 

Toto je dosti zakerna vec. Ono ani zaloha asi nestaci ako obrana, lebo ked odzalohujem zasifrovanu verziu, tak si poseriem predoslu zalohu. Chcelo by to zalohu s historiou, teda daco ako verzionovaci sw (jazykovedne spravne to je asi verzovaci sw).

Napada niekoho, ako zabranit takymto peknym virusom napadnut mapovane jednotky pre uzivatelov, ktori takto zalohuju/zdielaju veci medzia viacerimi PC? Pripadne nechat mapovany disk normnalne na zdielanie prace medzi PC a dane data z toho mapovaneho samba uloziska ukladat niekde na filesystem s verziami? (napr http://www.nilfs.org/en/ s vlastnostou continuous snapshotting)
Odpovedať Známka: 6.7 Hodnotiť:
 

Ako uz bolo spomenute, zalohovat na vzdialeny server a robit snapshoty filesystemu. Pripadne pouzit sluzbu ktora uchovava aj historiu zalohovanych suborov. Napr. dropbox ma uz tymto raz zachranil pri poskodenom subore.
Odpovedať Známka: 7.5 Hodnotiť:
 

kiežby na Windowse bolo predinštalované niečo ako Tíme Machine. Nie, že by na to neexistovalo nič na Windowse, ale keďže to nie je predinštalované, takmer nikto to nepoužíva..
Odpovedať Známka: 7.5 Hodnotiť:
 

Praveze existuje (vola sa to tusim System Restore), vdaka tomuto frajerka objavila video z kamosovej rozlucky so stripterkou. Potom to bola uz skoro moja rozlucka s nou.
A to som si myslel, ze Shift-Del bude stacit.
Hold podcenil som to.
Odpovedať Známka: 2.9 Hodnotiť:
 

blbosť čo píšeš.... system restore na osobne data vôbec nesiaha. asi si to zabudol vymazat...
Odpovedať Známka: 0.0 Hodnotiť:
 

no tak asi siaha :-)
Odpovedať Známka: 4.0 Hodnotiť:
 

windows dokaze vsetko,... zalezi na nastaveni... Nepouzivam ho len preto, lebo tie nastavenia su sialene neprehladne (pre mna)...
Odpovedať Známka: 5.0 Hodnotiť:
 

na to verzovanie odporúčam DropBox - je to super služba na synchronizáciu súborov medzi viacerými počítačmi, ale práve v tomto prípade aj na verzovanie súborov a ak k takému niečomu dôjde, tak si ktorýkoľvek súbor obnovím cez web dropboxu na predošlú verziu a mám to v suchu :)
A aj v prípade mazania súborov je v dropboxe história ich mazania, a ešte aj z toho sa dajú obnoviť :)

2GB priestoru je zadara, 8GB sa dá nazbierať za doporučenia známym(za každého zaregistrovaného 250MB) a väčšie si môžete zaplatiť...

Ak mi chcete pomôcť zväčšiť priestor, budem rád - regnite sa cez môj referenčný odkaz a aj vy hneď dostanete 250MB zadara: http://db.tt/vEufn9x
Ďakujem všetkým a zároveň vrelo odporúčam.
Inak sem sú stránky pre tých, ktorí by mi väčší priestor nedopriali: www.dropbox.com
Odpovedať Známka: 2.3 Hodnotiť:
 

vdaka za tip, v case diplomovky veeeelmi pomocna vec. I ked som v takychto veciach paranoik, bakalarku som mal zalohovanu 3x + online zaloha typu ulozisko, mail.

no nevyplat taky tyzden pred odovzdanim :D
Odpovedať Hodnotiť:
 

Super diky...tohto vikendu som premyslal ci si nieco take neregnem lebo stale uploadovat vsetky zmeny na FTP a potom v PC stahovat takto je to lepsie
Ked budem na svojom NB tak si to regnem
Odpovedať Hodnotiť:
 

inak celkom sranda, že polícia sa nedokáže tak pustiť do toho prípadu, že by ich aj našli a ukončili vírus priamo v zdroji, no server dsl.sk nemá problém ich vyhľadať a kontaktovať :-)
Odpovedať Známka: 7.8 Hodnotiť:
 

naletiet na to ze sa s nimi skontaktovali moze iba male decko. kaspersky a ine AV spolocnosti to nedokazali ale it server z krpateho slovenska to zvladne na supu. urcite...
Odpovedať Známka: -2.5 Hodnotiť:
 

hehe, mozno nemuseli ist daleko....:)
Odpovedať Známka: 8.7 Hodnotiť:
 

CIFS/NFS zalohovanie to sice neriesi ale co tak AFP/FTP?
za predpokladu ze udaje este niesu zakryptovane

kazdy FTP zavrhuje dokonca niektori ISP povazuju za beznu inet prevazdku len HTTP/HTTPS a z dovodu pohodlia len malo kto doma pouziva na NAS FTP
pripadne bezat nieco ine WebDAV :D? ale ten ma zase ine bezpecnostne problemy ze.

Ten clovek co ma PC bez Antiviru si koleduje o problem
FW neriesi ani XSS ani exploity na beznych strankach
ani local media attacky. Zodpovedne browsovanie nieje imunita ale len aktivna prevencia ku ktorej rozhodne patri AV riesenie
Odpovedať Známka: 7.1 Hodnotiť:
 

presne, niekto hackne dsl.sk a nahraje vírus využívajúci chybu v nejakom SW a FW sa môže strčiť. Jednak, že sa jedná o dôveryhodnú komunikáciu a jednak, že keď dokážu obísť sandboxing a podobné srandy, určite obídu aj otázku FW, či ich povolí spustiť. Aj keď ani AV nie je 100%, ale zvyšuje šance na bezpečné používanie :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

bol som v tom, ze v sandboxe ,bez manualneho povolenia o presun suboru, ostane vsetko .....mylim sa?

aspon doteraz sa mi zdala bezpecna kombinacia sandbox + comodo internet security...bordel z netu sa drzal zatial bokom, ale lepsie free riesenie nepoznam.

ak niekto ano, nahodte
Odpovedať Hodnotiť:
 

Skusal som rozne antiviry... Jedine co nasli boli trojske kone v starych crackoch/keygenoch, ktore som mal na disku ako zaloha stareho PC. Ziadne dalsie cracky som nevyhladaval a antivirak sa v priebehu 3-5 rokov viac neozval. Teraz fungujem viac ako 3 roky bez antiviraku. Ked clovek vie ako funguje web, neklika na kazdu blikajucu hlasku a instaluje len to co skutocne potrebuje, tak je pravdepodobnost zavirenia velmi nizka. Ak sa niekto do PC vyzna viac, tak je antivirak zbytocny. Pred 3 rokmi som od niekoho dostal "vir" na USB kluci (asi ste sa s nim stretli, siri sa na vsetky disky/particie a vytvara autorun.inf). Do 1 hodiny som si s nim poradil bez antiviraku.
Odpovedať Známka: -7.1 Hodnotiť:
 

Tak a teraz vycikat a spat ty moj hrdina.
Odpovedať Známka: 10.0 Hodnotiť:
 

Velmi pozeras TV a Fica - tam tiez vidia hrozbu vsade, len nie problem u seba sameho. Pokial je to BFU a data si pravidelne zalohuje, tak ma takmer rovnaku pravdepodobnost si zavirit pocitac s antivirakom, ako aj bez neho. (doubleClick, FastClick a podobne omacky sa nepocitaju).
Odpovedať Známka: -10.0 Hodnotiť:
 

a ty zas vidis problem len v sebe a nic naokolo ti nevadi, si myslis ze vsetci ludia su dobri (az do konca)?
Odpovedať Hodnotiť:
 

Niektori ako ty vidia ciernobielo, a ostatni stale na sebe pracuju.
Odpovedať Hodnotiť:
 

presne o com hovorim... az do konca
Odpovedať Hodnotiť:
 

No ja som už zažil aj zavírenú "normálnu" stránku. A na takéto situácie už nejakú ochranu naozaj treba, lebo tam je človeku obozretnosť na....
Odpovedať Známka: 3.3 Hodnotiť:
 

GpCode:
new in version GpCode v1.1:

- increased amount of ransom from 120USD to 125USD
- other bug fixes
Odpovedať Známka: 10.0 Hodnotiť:
 

And where is the download link?
Odpovedať Známka: 7.8 Hodnotiť:
 

tak to je uz ake zle ked nas vydiera kod :D
Odpovedať Známka: 0.0 Hodnotiť:
 

Mna by teda zaujimalo ako sa to siri. Nieco viac, ako len spomenute "cez infikovane webove stranky".
Odpovedať Známka: 7.1 Hodnotiť:
 

sak cez tie internety
Odpovedať Známka: 10.0 Hodnotiť:
 

radsej sa ani nepytaj....dam ti "tajneho" typa.... najdes si taku haved napriklad aj na nemenovanej stranke na online filmi (a netreba ti ani peckove filmi aby si toto nachytal!).uz to riesim cez 4 hodiny a viem ze nevyriesim.proste mam smolu.jedine stastie ze to bol priatelov notebook, co na tom nemeni fakt ze som prisla o 150 GB z externeho disku a mimo toho sa vsade pise ze taky externy by som uz nemala ani inde na cisty laptop zapajat...takze si s nim asi mozem ... ak by dakto vedel poradit ako sa dostat k datam s5,budem vdacna.(aj ked to sa asi uz nestane).a o rady typu mala si radsej pouzivat linux atd nestojim.viem mala mala,ale co z toho.a ani antivir mi nepomohol.a to som sa rozculovala ked som otcovi musela riesit laptop lebo nachytal 12 trojanov za 3 mesiace....zlaty konici....ti su proti tomuto jednohubky!
Odpovedať Hodnotiť:
 

Keby robili takéto kľúče na software, tak by zmenšili pirátske kópie softwérov minimálne o 50%.
Odpovedať Známka: 3.3 Hodnotiť:
 

A svůj kód vylepšili ke spokojenosti. Tvůrci SW by si z nich mohli vzít příklad a možná by vyšlo konečně nějaké pořádné linux distro...
Odpovedať Známka: 1.4 Hodnotiť:
 

Dolar klesol kvoli inflacii, tak preto museli pytat viac.
Odpovedať Hodnotiť:

Pridať komentár