Tvorcovia ransomwaru Gpcode, škodlivého kódu šifrujúceho užívateľove súbory s pomocou asymetrického kryptografického algoritmu a požadujúceho výkupné, poskytli serveru DSL.sk kompletnú použitú šifrovaciu schému.
Základné informácie o použitom šifrovaní určujúce charakter tohto ransomwaru zverejnila už ruská antivírusová spoločnosť Kaspersky Lab, presná schéma podľa dostupných informácií doteraz zverejnená nebola.
Na každom PC najnovšia verzia Gpcode vytvorí náhodný hlavný 128-bitový RC4 kľúč. Pre každý jednotlivý súbor vytvára osobitný 128-bitový kľúč pre RC4 symetrické šifrovanie, ktorý je potrebný aby pri známom obsahu niektorého zo zašifrovaných súborov nebolo priamo možné zistiť generovaný keystream a použiť ho k odšifrovaniu ostatných súborov.
Pre vygenerovanie kľúča pre každý zo súborov je vygenerovaný náhodný 128-bitový blok, ktorý je zašifrovaný hlavným RC4 kľúčom. Následne je aplikovaný algoritmus SHA 1, 128 bitov z výsledku ktorého je použitých ako RC4 kľúč pre šifrovanie daného súboru. Do šifrovaného súboru je uložených aj náhodných 128 bitov vygenerovaných v prvom kroku pre tento súbor, aby bolo samozrejme možné so znalosťou hlavného RC4 kľúča súbor odšifrovať.
Po skončení všetkých šifrovacích operácií je hlavný RC4 kľúč zašifrovaný 1024-bitovým pevným verejným RSA kľúčom používaným Gpcode na každom PC a výsledok je uložený do súboru !_READ_ME_!.txt v každom adresári, kde sa nachádza nejaký zašifrovaný súbor.
=== BEGIN ===
AD7D6889
010200000168000000A4000054A3A7A1C7FE3F38
151636C01C06F16343D6867995AC67AEC3BD2288
9C3B0F5E5DE2E5E3F5C10719CD1B3C34686016E3
C5FA2A5243C8527FC6C699F00FE8384C7A36B976
B89B92C72C0AC58217C90C6014CC63A9ABA3F809
1C3146BFB88F6B01187EF2AAA33027D0A7B14FC5
96F768180AFD15BF4DED058C5F179E71A2774C51
=== END ===
Príklad hlavného RC4 kľúča zašifrovaného RSA a uloženého v súbore !_READ_ME_!.txt
Obeť Gpcode je v súbore !_READ_ME_!.txt vyzvaná na emailové kontaktovanie tvorcov Gpcode, ktorí podľa dostupných informácií obete vydierajú a požadujú od 100 do 200 dolárov za poskytnutie softvéru na dešifrovanie. Pre vytvorenie softvéru na dešifrovanie je potrebné zaslať súbor !_READ_ME_!.txt respektíve šifrovaný kľúč z neho, ktorý tvorcovia Gpcode odšifrujú privátnym kľúčom k používanému RSA kľúču.
Tvorcovia pre DSL.sk tvrdili, že ich kontaktuje a je ochotných zaplatiť odhadovaných 10 až 20% obetí tohto ransomwaru.
Schéma poskytnutá tvorcami Gpcode
Jediným v súčasnosti dostupným riešením pre obete novej verzie Gpcode je možné použitie softvéru na obnovu zmazaných súborov, keďže šifrované súbory sú vytvárané nanovo a pôvodné sú zmazané. Pri veľkom počte šifrovaných súborov to ale pravdepodobne neprinesie uspokojivé výsledky, keď pri procese šifrovania budú postupne prepisované staršie zmazané súbory.
Stále nebola definitívne oficiálne vyvrátená ani možnosť, že autori Gpcode v skutočnosti privátny kľúč k používanému RSA kľúču nepoznajú a práve takýmto spôsobom sa snažia zabezpečiť, aby ho napríklad antivírusové spoločnosti začali hľadať. Vlastníctvo privátneho kľúča k používanému RSA kľúču by potvrdili napríklad poskytnutím funkčného softvéru na dešifrovanie aspoň jednej z obetí, takýto prípad ale zatiaľ podľa dostupných informácií nebol verejne zdokumentovaný.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
WoooW
Od: shiby
|
Pridané:
14.6.2008 13:47
šikovny hackeri :)
|
| |
Re: WoooW
Od reg.: Kominár
|
Pridané:
14.6.2008 13:51
Veru, šikovný sú ...
|
| |
navnada pre mikrosoft?
Od: ch.
|
Pridané:
16.6.2008 14:53
mozno je to navnada pre mikrosoft aby sa priznal ze v tej ich kniznici je nejaka "neumyselna chyba" ktora obetiam umozni relativne jednoduche odsifrovanie...
.
alebo ak sa vysledky z onej kniznice priebezne "niekam zalohuju", dal by sa ten vygenerovany rc4 kluc odtial vytiahnut (ale to by sa zase musel mikrosoft priznat a bola by to dost vazna bezpecnostna afera)
|
| |
Re: WoooW
Od: gnu
|
Pridané:
14.6.2008 13:54
spravne ma byt crackery (nie krekry :D )
|
| |
Re: WoooW
Od: xyz...
|
Pridané:
14.6.2008 15:04
Spravne to ma byt s "i".
|
| |
Re: WoooW
Od: koki
|
Pridané:
14.6.2008 15:20
to by potom boli nejake moc makke krekri :D
|
| |
Re: WoooW
Od reg.: wavevlna
|
Pridané:
14.6.2008 20:52
nejde mi vyhladavat na google.sk a tebe?
|
| |
Re: WoooW
Od: wavexxx
|
Pridané:
15.6.2008 13:35
tak nic bol to vir
|
| |
Re: WoooW
Od reg.: Lenovo
|
Pridané:
15.6.2008 13:45
Ak Ti nejde aj Yahoo, mas virus
|
| |
Re: WoooW
Od: $amo
|
Pridané:
16.6.2008 12:58
Ani mne to neide, neide ani Yahoo, ale iba na stolnom PC, ani Gmail a pokec neide. Na notebooku to ide, najaká blbosť v tom bude.
|
| |
Re: WoooW
Od: gnu
|
Pridané:
15.6.2008 0:07
sheby napisal sikovny tak som automaticky napisal crackery
btw podla mna to nie su rusi :D
|
| |
Re: WoooW
Od: joe07
|
Pridané:
15.6.2008 9:16
Podla mna su to buz_eranti takych by som zavesil za gul€ a pri hojdavom pohybe sa ich spytal, ci to este spravi...
|
| |
Re: WoooW
Od: L. Stur
|
Pridané:
14.6.2008 14:59
hlavne by to mohlo byt aspon gramaticky spravne...
|
| |
nijok
Od reg.: Kominár
|
Pridané:
14.6.2008 13:53
v obrazku je mrkvosoft gryptokrahpic provinder a pod nou je napisane ze je to poskytnute tvorcami GPCODE.
Tak co som z jahody zpadol ?
|
| |
Re: nijok
Od reg.: Redakcia DSL.sk
|
Pridané:
14.6.2008 14:01
To je knižnica nachádzajúca sa štandardne vo Windows, ktorú používajú minimálne na štyri kryptografické operácie vnútri toho obdĺžnika vyznačené červenou farbou.
|
| |
Re: nijok
Od reg.: Kominár
|
Pridané:
14.6.2008 19:50
to akože ruski tinejdžeri si urobili virus, chytaju peňeži cez egold, a ešte aj urobia rozhovor ? ja som asi z tej jahody spadol
|
| |
Re: nijok
Od: roflmao
|
Pridané:
14.6.2008 15:13
z orecha kralovskeho
|
| |
Re: nijok
Od: to mas tak...
|
Pridané:
14.6.2008 20:56
To mas tak... To ze sa tam pise o sifrovacej kniznici microsoftu znamena len to ze ten virus pouziva tu kniznicu na sifrovanie. V scheme je ta cast oznacena modrym ramcekom a to co je mimo toho ramceka uz je cast ktora sa tyka samotneho virusu. V podstate nic "svetoborne" neprezradili pretoze to co sa na scheme da vidiet je len funkcna cast sifrovacieho algoritmu vymysleneho microsoftom a len to ostatne (co sa nachadza mimo modreho ramceka) je popis virusu... velmi kostrbaty popis virusu...
|
| |
vy ste teda sikovny :-)
Od: Klolok
|
Pridané:
14.6.2008 13:53
To musim potvrdit, fakt sikovny hackery, pekne sa im zaraba, svine jedne. Inac by ma zaujmalo ako sa k tomu dostala redakcia DSL.sk. To si s nimi pisete maily xD. To Vas musim taktiez pochvalit, ze aj vy ste sikovny :-), hlavne ak ste prvy kto tento sifrovaci mechanizmus zverejnil ako prvi na svete. To ste sa s nimi ako zoznamili, nemozete poskytnut mail alebo nieco podobne aj ja si chcem pokecat so sikovnymi hackermi xD
PS: neberte to vazne je to iba vtip :-)
|
| |
Re: vy ste teda sikovny :-)
Od: kelt
|
Pridané:
14.6.2008 15:13
no sak sa vcera stretli v senku a pri pivku to v pokoji prediskutovali :D
|
| |
Re: vy ste teda sikovny :-)
Od: Accuphose+
|
Pridané:
14.6.2008 15:42
Dneska v době online komunikace není nic problém. A podle mě tyhle lidi dělají záslužnou činnost. Infikují se v drtivé většině ti, kteří mají hardisk plný kradeného softu. Proto si myslím, že těch 10-20% je celkem vysoké číslo. :-))
Pokud to sníží míru kradení software, tak to má i pozitivní efekt.
|
| |
Re: vy ste teda sikovny :-)
Od reg.: wavevlna
|
Pridané:
14.6.2008 16:13
ok tak mi zabezpeč Ačko zo železobetónových sústav bez učenia.. teda ak platí tá tvoja prvá veta
|
| |
Re: vy ste teda sikovny :-)
Od: stu?
|
Pridané:
14.6.2008 16:52
to by bola pecka keby niekto zaviril server (aj backup) a zasifroval by vsetky data ;)
|
| |
Re: vy ste teda sikovny :-)
Od: ARnyXXX
|
Pridané:
14.6.2008 18:07
Ano znizi to mieru windowsov na PC ;)
|
| |
Kominar a Shimi...
Od reg.: Power User
|
Pridané:
14.6.2008 13:58
Tak ak sú tí Rusi šikovní, tak vy dvaja určite nie, pretože ste zabudli, to čo ste sa naučili na ZŠ, a to, že sa v nominatíve m.č. používa I.
|
| |
Re: Kominar a Shimi...
Od reg.: Kominár
|
Pridané:
14.6.2008 19:48
teraz si prečítaj čo si napísal....
|
| |
DSL.sk
Od reg.: pjotor
|
Pridané:
14.6.2008 13:59
Tak cela redakcia, klobuk dolu. Toto vam mozu zavidiet vsetky antivirusove firmy :-) len tak dalej. Kvalita clankov sa stale zvysuje. Dufam ze este niesme za vrcholom ked to pojde uz len dolu.
|
| |
Demencia
Od: Felix1
|
Pridané:
14.6.2008 14:56
Tvorcov ransomwaru Gpcode by som dal popravat na namesti pre vystrahu ostatnym stupidnym ludom co zneprijemnuju pracu na pocitaci !!!!
|
| |
Re: Demencia
Od: rerere
|
Pridané:
14.6.2008 20:35
Napriklad postarka ma minule vyrusila, co poriadne zneprijemnilo pracu ... ^^
|
| |
just kidding
Od: xxxxs
|
Pridané:
14.6.2008 15:07
Admini z DSL priznajte sa, kto z vas je za tym ransomwarom? :D :D
|
| |
super
Od: Huliak
|
Pridané:
14.6.2008 16:04
Musim pochvalit redakciu za vynikajuce definicie, clanky k tymto temam...
|
| |
huhuuuuuuuu
Od reg.: xxar3s
|
Pridané:
14.6.2008 16:12
je to fuckt kruteeee mrte kruteee
|
| |
Virtual PC
Od: 82jojo82
|
Pridané:
14.6.2008 16:26
Mam jednu otazku:
Ked budem chodit na net cez virtualny system (WMware Workstation) je nejaka sanca, ze sa ten ramsonware dostane aj do normalneho systemu cez ten WMware ??? Predpokladam, ze nie a staci potom zmazat ten nakazeny system a vytvorit novy virtualny. Alebo sa mylim ?
|
| |
Re: Virtual PC
Od: genie
|
Pridané:
14.6.2008 16:43
áno
|
| |
Re: Virtual PC
Od: PCnity2
|
Pridané:
14.6.2008 17:23
Ak bude mat aj hostitelksy pc pristup k sieti... :)
|
| |
Re: Virtual PC
Od reg.: tomas fri zu
|
Pridané:
14.6.2008 22:28
Ak mas v tej VM pristupne nejake casti hostitelskeho suboroveho systemu aj na zapis, tak ti tie casti moze aj ohrozit. Napr. ak ma VM pravo na zapis do My Documents, tak ti to tam gpcode moze zasifrovat a dokonca nezavisle na tom, aky pouzivas hostitelsky operacny system.
|
| |
asymetricke sifrovanie
Od: ARnyXXX
|
Pridané:
14.6.2008 18:06
Vsetko toto je pekne ale jedne veci nerozumiem. Posledny krok ktory vykonavaju je ze zasifruju kluc do asymetrickej RSA sifry. Lenze ta sifra vytvara verejny aj privatny kluc. Verejnym to zasifruju. Nikde som ale necital zeby si ten privatny posielali cez net a to znamena dve veci:
1. Privatny kluc naozaj nepoznaju
2. Privatny a verejny kluc su staticke pre kazdy program a tym padom su nakodene priamo v ransomware. Kedze existuje iba jeden verejny a jeden privatny, staci aby sa nejak ten privatny prezradil (napr ze antivirusova firma zaplati) a je po probleme.
Horsie by bolo keby tie kluce boli dynamicke a ten ransomware by privatny kluc poslal svojim tvorcom. Tam by uz koncili zarty a zacali samovrazdy ;)
|
| |
Re: asymetricke sifrovanie
Od reg.: Redakcia DSL.sk
|
Pridané:
14.6.2008 18:33
RSA kľúč je jeden pevný (resp. zatiaľ vyzerá, že sú dva, pozrite prosím predchádzajúci článok) a kľúčovou vlastnosťou asymetrického šifrovania je práve to, že k šifrovaniu stačí verejný, z ktorého sa nedá zistiť privátny. V tom Gpcode je zahrnutý práve ten verejný a odšifrovať a získať hlavný RC4 je možné s tým privátnym, ktorý nikam posielať autori Gpcode nepotrebujú, posiela sa len zašifrovaný a odšifrovaný RC4 kľúč.
Tá použitá formulácia o RSA tak trochu predpokladala, že čitatelia čítali predchádzajúci článok. Pre tých, ktorí ho nečítali, sme formuláciu spresnili.
|
| |
Re: asymetricke sifrovanie
Od: ARnyXXX
|
Pridané:
15.6.2008 13:31
V poriadku ja som chcel iba poukazat ze tych privatny/verejnych klucov bude iba niekolko, co dava aku taku sancu ich uhadnut resp. zaplatit a ziskat ich priamo od tvorcov. Vacsi problem by bol keby si kazdy ransomware vytvoril novy verejny a privatny kluc (teda pre kazdy napadnuty pocitac zvlast), verejnym zasifroval a privatny poslal tvorcovi. To by bol ovela vacsi problem.
|
| |
Re: asymetricke sifrovanie
Od reg.: kane777
|
Pridané:
15.6.2008 16:22
pointa je v tom, ze autori nebudu posielat privatny kluc, ale iba spomenuty RC4 kluc.. ktory je unikatny
|
| |
Re: asymetricke sifrovanie
Od: ARnyXXX
|
Pridané:
16.6.2008 0:01
Aha chapem ale aj tak je potom ten privatny kluc jediny, cize je tu sanca ze ho niekto prezradi. Uz vidim novu funkcionalitu antivirakov ako budu desifrovat zasifrovane subory po ransomware a kluce budu ziskavat z DB :DDDDDDDD
|
| |
Otazka
Od reg.: Xwing
|
Pridané:
14.6.2008 18:59
Ak som to spravne pochopil, ked si vsimnem ze z nicoho nic ide procak na 100% a disk sa toci ako divy, pomoze mi surovo vypnut comp, hodit disk do druheho PC a zazalohovat data z neho? Alebo tie subory po zasifrovani maze priebezne? Antivirus nepouzivam, uz dva roky som nic nechytil a prestalo ma bavit nechat si spomalovat system... ale o svoje data sa bojim :)
|
| |
Re: Otazka
Od reg.: Kominár
|
Pridané:
14.6.2008 19:53
ked si urobis z toho disku zalohu tak v zalohe budes mat aj ten ransomware...
tak tomu sa povie poctivý záložník :D
|
| |
Re: Otazka
Od reg.: spyware
|
Pridané:
14.6.2008 20:37
zalohuj si to rovno teraz a ked ti pojde procak z nicoho nic na 100% a disky sa budu tocit ako divne mozes sa len smiat.. :D
|
| |
Riesenie?
Od: rrrr
|
Pridané:
15.6.2008 6:43
Prepacte nie som expert,
ale kes si vo WIN mozem vypinat services, nemozem si vypnut servis na kryptovanie, ktory pouzivaju tito chlapci pri fyzickom sifrovani?
A mam pokoj :-)
Dik za nazor
|
| |
Re: Riesenie?
Od: pol77
|
Pridané:
15.6.2008 8:55
oni pouzivaju kniznicu, nie servis. takze ti to nepomoze.
|
| |
Re: Riesenie?
Od reg.: Kominár
|
Pridané:
15.6.2008 18:15
Takze ty chodis menit kola do kniznice a citat knihy do servisu ?
|
| |
zmazem kniznicu ;-)
Od: joe07
|
Pridané:
15.6.2008 9:17
Tak zmazem kniznicu a hotovo nic sa kryptovat nebude...
Keby to islo tak lahko ;-)
|
| |
dalsie kroky?
Od: anonym___
|
Pridané:
15.6.2008 18:23
Dufam, ze redakcia serveru DSL.sk si je vedoma pravnych povinnosti, ktore jej z tejto vety "poskytli serveru DSL.sk kompletnú použitú šifrovaciu schému" vyplyvaju - najma vzhladom na to, ze ide celkom jasne o trestny cin vydierania, a tiez vzhladom na to, ze ide o "tvorcov" (v mnoznom cisle) pravdepodobne aj zalozenie zlocineckej skupiny a dalsie mozne porusenia zakona - a teda, ze sa so ziskanymi materialmi a informaciami obratili na prislusne organy. Inak sa taktiez dopustaju porusenia zakona.
Vyzyvam redakciu, nech uvedie, ci so ziskanymi materialmi podnikla dalsie kroky.
Inak bude mozne uvedeny zaciatok clanku povazovat len za vystatovanie sa typu "len my sme ziskali" a prazdne slova.
|
| |
Re: dalsie kroky?
Od: anonym___
|
Pridané:
15.6.2008 18:27
A zabudol som - podla clanku ma DSL.sk kontakt na tvorcov. Tento by mala tiez dalej poskytnut prislusnym organom, inak sa dopusta spolupachatelstva.
(A mimochodom, nie je zaujimave, ze jediny kto schemu ziskal a zverejnil je nejaky maly server na Slovensku? Kto sa trochu zamysli, pochopi kam tym mierim...)
|
| |
Re: dalsie kroky?
Od: jan08
|
Pridané:
17.6.2008 16:34
sifrovacie schemy nie su vobec tajne, prave naopak. su verejne!
|
| |
aaaaaaaaaaa
Od: Alien93
|
Pridané:
15.6.2008 21:38
Ano nad tym som sa uz aj ja zamyslal. Ved dsl.sk vobec neni svetovo rozsireny.
|
| |
Pekne ale nic svetoborne
Od: linuxroot
|
Pridané:
16.6.2008 8:32
Vyuzili len zaklady z bezneho kryptovania. V podstate o sikovnost sa az tak nejedna, taketo nieco by mohol navrhnut hocikto kto pozna symetricke a asymetricke sifrovanie (vid http://www.dtca.sk/support/principles.php). Aj ked je to urcite ucinne. A vsak takto postihnuty clovek, je v rovnakom probleme aj ked mu vyhori disk, pokial nema par tisic na firmu ktora mu to obnovi. Poukazuje to iba na potreby zalohovania, ktore v dnesnej dobe su financne zanedbatelne. (Ak clovek nezalohuje par TB filmov ktore si nasiel na nete :)
|
| |
Čo na to NOD32
Od: Ivan666
|
Pridané:
16.6.2008 8:42
Mňa by zaujímalo či naše antiviráky vedia zachytiť toto svinstvo?
Ako sa vlastne šíri? Kde sa to dá nachytať? Cez email alebo návštevou infikovanej stránky?
|
| |
Re: Čo na to NOD32
Od: linuxroot
|
Pridané:
16.6.2008 9:05
No sirenie u tychto veci je normalne ako pri kazdom inom viruse, cize na pociatku je nieco co sa da zneuzit, ako to virusy robia, akurat je takyto virus rozsireny o tuto funkcionalitu + vydieranie, ktore pri beznych virusoch ktore len zneprijemnuju zivot je toto ine.
|
neprihlásený 
