программа шифрование данный

Viruslist.com - Шантажист Рассылки | RSS-каналы | Обсуждения | Опросы | Карта сайта Рассылки | RSS-каналы | Обсуждения | Опросы | Карта сайта Все угрозы Вирусы Хакеры Спам На сайте В вирусах Вирусная энциклопедия Riskware Предупреждения Аналитика Новости Глоссарий Веблог Архив << 2008 Янв Фев Мар Апр Май Популярные статьи Вирусы программа шифрование данный антивирусы: гонка вооружений Обзор вирусной активности, март 2008 Киберпаноптикум, март 2008 Современные информационные угрозы, I квартал 2008 Клавиатурные шпионы. Принципы работы программа шифрование данный методы обнаружения. Часть I Для авторов Хотите стать одним из наших авторов программа шифрование данный увидеть ваши тексты на страницах Viruslist.com? Свяжитесь с нами! Главная / Аналитика Шантажист 16.06.2006 | комментарии (5) Ольга Емельянова Денис Назаров 7 июня 2006 года на веблоге «Лаборатории Касперского» появилось сообщение: «Новый Gpcode с ключом длиной 660 бит... Cracked by Kaspersky Lab! Также нам удалось (совместно с компанией-хостером) удалить файл вируса с сайта, с которого он загружался на компьютеры пользователей». Так закончился очередной раунд борьбы с Gpcode, в котором эксперты «Лаборатории Касперского», как программа шифрование данный в случае предыдущих атак «вируса-шантажиста», одержали убедительную победу. Захват в три хода Virus.Win32.Gpcode открыл новую страницу в истории киберпреступности: методика киберзлоумышленников напоминает захват заложников с последующим требованием выкупа. Александр Гостев, «Современные информационные угрозы, второй квартал 2005» Даже при отсутствии богатого воображения можно легко представить, что чувствует пользователь, обнаружив в один прекрасный июньский день, что файлы на жестких дисках его компьютера либо не открываются, либо, как, например, файлы с расширением TXT, абсолютно не читаемы. Чтобы описать масштаб бедствия, достаточно уточнить, что список расширений пострадавших файлов состоит более чем из 80 пунктов. Тот факт, что некоторые текстовые файлы с говорящим названием readme.txt читаются прекрасно, вряд ли обрадовал кого-либо из пострадавших — в этих файлах содержится недвусмысленное предложение купить программу-декодер, чтобы расшифровать «некоторые файлы», зашифрованные с помощью RSA-метода. Увы, некоторым эта ситуация знакома не понаслышке. При этом довольно долго оставалось загадкой, как именно заражаются компьютеры «вирусом-шантажистом». На сегодняшний день схема распространения Gpcode, по крайней мере его последних версий, появившихся в начале июня, известна. Изначально была использована спам-рассылка: в течение нескольких дней на несколько тысяч адресов электронной почты российских пользователей рассылалось письмо следующего содержания: К письму прилагался документ MS Word с именем anketa.doc. На самом деле этот файл представлял собой троянскую программу Trojan-Dropper.MSWord.Tored.a. При открытии документа в нем срабатывал вредоносный макрос, который устанавливал в систему другую троянскую программу — Trojan-Downloader.Win32.Small.crb. Именно этот троянец программа шифрование данный загружал в систему Gpcode с адреса [skip].msk.ru/services.txt. Загруженная вредоносная программа последовательно обходила все каталоги компьютера программа шифрование данный шифровала по особому алгоритму все найденные файлы документов различных форматов (TXT, XLS, RAR, DOC, HTML, PDF программа шифрование данный пр.), программа шифрование данный также почтовые базы данных. Оригинальные файлы всех используемых вредоносных программ после запуска удалялись, программа шифрование данный в каждом каталоге с зашифрованными файлами появлялся файл readme.txt, в котором злоумышленник указывал адрес электронной почты для связи с ним. Some files are coded by RSA method. To buy decoder mail: k47674@mail.ru with subject: REPLY Автор Gpcode регулярно менял версию вируса, размещенного по ссылке для загрузки троянцем. Адреса электронной почты в рассылаемых письмах также менялись — каждой новой модификации вируса соответствовал новый адрес, по которому следовало связаться с шантажистом. При обращении по указанному адресу пострадавшему предлагалось заплатить определенную сумму за расшифровку файлов. Чтобы получить программу-декодер, необходимо было выслать злоумышленнику деньги на указанный им номер Яндекс-кошелька. Однако разобраться во всех тонкостях захвата «электронных заложников» было не так просто. Лиха беда начало Когда в декабре 2004 года мы получили первые экземпляры различных файлов, зашифрованных неизвестной программой-шифровщиком, мы программа шифрование данный предположить не могли, что через полгода мы будем получать в день десятки таких файлов, программа шифрование данный количество методов их шифрования всего за одну неделю июня превысит два десятка. Александр Гостев, «Современные информационные угрозы, второй квартал 2005» Итак, впервые эксперты «Лаборатории Касперского» столкнулись с Gpcode в декабре 2004 года. Файлы на зараженных машинах были зашифрованы неизвестной программой. Судя по русскоязычному тексту файла !_Vnimanie_!.txt, оставляемого шифрующей программой, по адресам электронной почты, используемым злоумышленником, программа шифрование данный по некоторым специфическим для России форматам шифруемых файлов шифрующая программа была явно российского происхождения. Однако обнаружить ее на зараженных компьютерах не удалось. Тогда среди пострадавших почти не было домашних пользователей — заражены были компьютеры банков, финансовых компаний, рекламных программа шифрование данный риэлторских агентств программа шифрование данный других организаций с крупным документооборотом. «Подарочек» из России получили также несколько зарубежных компаний. Стоявший в начале каждого зашифрованного файла заголовок «PGPcoder» наводил на мысль об использовании программы шифрования PGP, однако все оказалось не так сложно: тогда создатель Gpcode использовал алгоритм собственного сочинения, разобраться с которым вирусным аналитикам «Лаборатории Касперского» не составило труда. Через полгода, в июне 2005, атака Gpcode повторилась, программа шифрование данный мишенью злоумышленника стал исключительно Рунет. Шифр использовался более сложный, чем в декабре, но все же «простенький», как говорят специалисты «Лаборатории Касперского», которые легко справились более чем с 25 модификациями первых версий Gpcode. Кроме того, тогда же удалось получить несколько вариантов программы, шифрующей данные. Один вопрос все же остался без ответа: каким образом вредоносная программа попадала на компьютеры? Однако, как выяснилось, это была не единственная проблема, которую предстояло решить вирусным аналитикам. Плоды просвещения Технология шантажа пользователей становится все более программа шифрование данный более популярной в среде вирусописателей. Это очень опасная тенденция, которая с каждым месяцем будет все больше усиливаться. Александр Гостев, «Современные информационные угрозы, четвертый квартал 2005» «Родитель» Gpcode либо обиделся за свое детище, либо ему все же понравилось получать деньги от нервных граждан. Как бы то ни было, он решил Gpcode усовершенствовать: складывается впечатление, что с прилежанием хорошего студента он полгода изучал методы шифрования программа шифрование данный в начале 2006 года устроил экзамен — себе программа шифрование данный вирусным аналитикам. Утром 26 января 2006 года специалистами «Лаборатории Касперского» была перехвачена новая модификация вредоносной программы Gpcode, которая получила индекс .ac. Именно тогда в Gpcode впервые был применен один из наиболее известных программа шифрование данный стойких публичных алгоритмов шифрования — RSA. Гордый своими познаниями, шантажист даже создал сайт, на котором доходчиво объяснял тем, кто был готов заплатить выкуп за расшифровку, что представляет собой алгоритм RSA (оригинальная орфография сохранена): «Алгоритм RSA работает следующим образом: берутся два достаточно больших простых числа p программа шифрование данный q программа шифрование данный вычисляется их произведение n = p*q; n называется модулем. Затем выбирается число e, удовлетворяющее условию 1< e< (p - 1)*(q - 1) программа шифрование данный не имеющее общих делителей кроме 1 (взаимно простое) с числом (p - 1)*(q - 1). Затем вычисляется число d таким образом, что (e*d - 1) делится на (p - 1)*(q - 1). e - открытый (public) показатель d - частный (private) показатель. (n; e) - открытый (public) ключ (n; d). - частный (private) ключ. Делители (факторы) p программа шифрование данный q можно либо уничтожить либо сохранить вместе с частным (private) ключом. Если бы существовали эффективные методы разложения на сомножители (факторинга), то, разложив n на сомножители (факторы) p программа шифрование данный q, можно было бы получить частный (private) ключ d. Таким образом, надежность криптосистемы RSA основана на трудноразрешимой - практически неразрешимой - задаче разложения n на сомножители (то есть на невозможности факторинга n) так как в настоящее время эффективного способа поиска сомножителей не существует». Задача перед вирусными аналитиками стояла куда более серьезная, чем в предыдущих случаях, — впрочем, они с ней справились. А вот шантажист не угомонился: в апреле появилась новая версия вредоносной программы. Автор Gpcode явно «наращивал мощности» — для шифрования в ней также частично использовался алгоритм RSA, но длина ключа, в отличие от предыдущего варианта (56 бит), составляла уже 67 бит. Однако самая массовая программа шифрование данный опасная эпидемия Gpcode разразилась в Рунете в начале июня. Последний раунд? С началом 2006 года авторы подобных программ попытались кардинально изменить способы шифрования данных, чтобы максимально осложнить антивирусным компаниям возможность расшифровки… Ранее автор [Gpcode] ограничивался самодельными алгоритмами шифрования, но теперь в ход пошла «тяжелая артиллерия». Александр Гостев, «Современные информационные угрозы, первый квартал 2006» В начале июня 2006 года были последовательно распространены три варианта Gpcode, причем каждый раз для шифрования использовался гораздо более длинный ключ, что значительно осложняло процесс его подбора экспертами антивирусных компаний. В Gpcode.ae длина ключа составляла 260 бит, в Gpcode.af — 330. Задача была достаточно сложной. Расшифровка различных ключей, используемых в модификациях Gpcode.af (330 бит), потребовала применения новейших технологий программа шифрование данный 10 часов напряженной работы экспертов «Лаборатории Касперского». Соответствующее обновление, содержащее процедуры дешифровки пораженных файлов, было добавлено в антивирусные базы «Лаборатории Касперского». Все вздохнули с облегчением. И тут появился новый вариант Gpcode — ag — с длиной ключа в 660 бит. На сегодняшний день, согласно информации на официальном сайте RSA Security, длина последнего факторизированного ключа составляет 640 бит, программа шифрование данный на подбор ключа такой длины потребовалось бы 30 лет работы одного компьютера частотой 2,2 Ghz. Защита от Virus.Win32.Gpcode.ag (включая алгоритмы расшифровки пораженных этой версией Gpcode файлов) была добавлена в антивирусные базы «Лаборатории Касперского» в тот же день, когда был обнаружен Gpcode.ag. Как эксперты компании решили эту задачу? В ответ на этот вопрос они загадочно улыбаются... И перестают улыбаться, когда спрашиваешь, чего нам ожидать в будущем. Таких не берут в космонавты Для того чтобы наши правоохранительные органы начали что-то делать по данному случаю, программа шифрование данный именно — хотя бы возбудили дело по 273й статье УК — требуется хотя бы одно заявление в милицию от пострадавших. Александр Гостев, веблог «Лаборатории Касперского» Противника не стоит недооценивать, хотя этот раунд он проиграл. Ему не откажешь в уме программа шифрование данный изобретательности — весь механизм атаки «вируса-шантажиста» хорошо продуман, да программа шифрование данный методы социальной инженерии автору Gpcode не чужды. Спам с вредоносной программой рассылался по электронным адресам, собранным на сайте job.ru. Люди, заинтересованные в новой работе программа шифрование данный разместившие анкеты соискателей, получали соответствующее запросу предложение якобы от представителей солидных западных компаний. Вложенный файл следовало открыть, чтобы утрясти вопросы размера заработной платы на новом месте работы. Удержаться от потенциально опасного действия при такой подаче очень трудно. Никаких видимых пользователю изменений после открытия вложения не происходило. А загрузка Gpcode программа шифрование данный шифрование файлов на зараженной машине осуществлялись с некоторым интервалом времени после рассылки спама программа шифрование данный внедрения первого троянца. В подавляющем большинстве случаев у пользователей не возникало никаких подозрений относительно того, что шифрование файлов программа шифрование данный письмо, пришедшее в ответ на размещение анкеты соискателя на job.ru, как-то связаны. Так что не случайно механизм заражения компьютеров так долго не удавалось понять. Остается только пожалеть, что столько усилий было направлено злоумышленником (или злоумышленниками) на достижение столь неблаговидной цели, программа шифрование данный не на благо общества. Хотя иногда упорство автора Gpcode вызывает недоумение: копья ломались из-за 2000 рублей. А поначалу, в декабре 2004 года, у тех, кто поддался шантажу программа шифрование данный с перепугу писал на указанный в текстовом файле адрес, вымогатель просил программа шифрование данный вовсе 1000 рублей. Судя по сообщениям, появлявшимся в то время на форумах, его вполне устраивала программа шифрование данный вдвое меньшая сумма — 500 рублей. Впрочем, программа шифрование данный тут был свой расчет — расчет на то, что пострадавшие предпочтут лишиться относительно небольшой суммы денег, программа шифрование данный не обращаться в антивирусные компании или в компетентные органы. Те, кто выполнял требования шантажиста, фактически поощряли его (или их, если за атаками Gpcode стоит несколько сообщников) на продолжение преступной деятельности программа шифрование данный на создание новых версий Gpcode. Между тем «Лаборатория Касперского» неоднократно обращалась к пользователям с настоятельной просьбой не потакать преступникам. А вот для того чтобы перевести вопрос в юридическую плоскость, необходимо, чтобы в правоохранительные органы было подано хотя бы одно заявление от пострадавших. К сожалению, российские пользователи не воспринимают атаки киберпреступников как уголовно наказуемые действия программа шифрование данный заявлений не пишут практически никогда. А жаль! Защищайтесь! Компьютер, подключенный к сети Интернет, — это как секс. Он может быть безопасным программа шифрование данный не очень. Евгений Касперский, «Современная антивирусная индустрия программа шифрование данный ее проблемы» Самое удивительное в этой истории то, что среди пользователей, обратившихся за помощью в расшифровке поврежденных Gpcode документов, был небольшой, но в количественном отношении весомый процент пользователей Антивируса Касперского. Удивительным это было потому, что Антивирусом Касперского атака шантажиста блокировалась на каждом из трех этапов: при получении спамового письма с вложенным вредоносным DOC-файлом детектировался Trojan-Dropper.MSWord.Tored.a; компонент, загружающий Gpcode на компьютер, определялся как Trojan-Downloader.Win32.Small.crb. Сам Gpcode также успешно выявлялся антивирусом. И для этого не нужны были новейшие обновления: записи, которыми ловилось большинство модификаций Gpcode, были добавлены еще в январе этого года. Вероятнее всего, у пострадавших Антивирус Касперского просто был выключен. Эксперты не устают повторять: работа с файлами из сомнительных источников без включенной антивирусной защиты может закончиться плачевно. Особенно учитывая вероятность появления вредоносной программы, в результате действия которой информация может быть утеряна безвозвратно. Даже в случае Gpcode, когда все методы расшифровки уже были разработаны, «Лаборатории Касперского» пришлось выпустить специальные методы восстановления для зашифрованных почтовых баз, которые повредил почтовый клиент, не распознав «свой» формат. А некоторые пользователи вообще потеряли часть критичных данных по аналогичным причинам. Очень хочется надеяться, что когда-нибудь все пользователи поймут: для того чтобы чувствовать себя относительно спокойным за «здоровье» компьютера программа шифрование данный за безопасность всех данных на нем, нужно пользоваться современными средствами защиты программа шифрование данный не забывать постоянно обновлять базы для них. Не стоит беспечностью облегчать жизнь злоумышленникам программа шифрование данный осложнять себе! За последний год антивирусные компании столкнулись не только с шифрованием данных, но программа шифрование данный другими способами вымогательства. Несомненно, стоит отметить такие троянские программы как Cryzip программа шифрование данный MayArchive, в этом году уже поразившие пользователей в США программа шифрование данный Великобритании. В них использовалась технология архивирования файлов с неизвестным паролем. Задача взлома подобного пароля представляется не менее сложной, чем история с Gpcode. Эти примеры показывают, что шантаж пользователей не является чисто российским изобретением программа шифрование данный активно применяется также зарубежными авторами вирусов. В этой связи на первый план выходят не только требования по постоянному обновлению антивирусных баз, но программа шифрование данный обязательное создание резервных копий всех важных файлов. И конечно, ни в коем случае не следует выполнять требования злоумышленников программа шифрование данный платить им требуемые деньги. Антивирусные компании до сих пор всегда были в состоянии справиться с проблемой программа шифрование данный оказывали помощь всем своим клиентам. Источники: Лаборатория Касперского Ссылки по теме Аналитика Кража собственности в компьютерных сетях, часть II Кража собственности в компьютерных сетях, часть I Современные информационные угрозы, II квартал 2006 Шантажист Современные информационные угрозы, I квартал 2006 Новости Хакеры возвращают электронные письма за выкуп Троянец Cryzip шифрует данные программа шифрование данный требует выкуп Интернет-вымогатели берутся за обычных пользователей Вирусные предупреждения Virus.Win32.Gpcode.ag Virus.Win32.Gpcode.af Virus.Win32.Gpcode.ae Virus.Win32.Gpcode.ac Virus.Win32.Gpcode.f, .g, .h, .i Copyright © 1996 - 2007«Лаборатория Касперского» Email: webmaster@viruslist.com разделы кайт sky link вызов врач прайс сушильный машина радиодоступ certification microsoft купить ниппель перех время архангельск трубогиб дорном лад ipsec серверные корпус консольный переключатель центр консультирование домашний очаг здоровье ротационный rvg структурный штукатурка цвет ламината класс 32 сварочный пост кофе дорога учиться танго пп-пленка автобетононасосы лак краска кулер 478 акриловый пряжа электрокамин dimplex model plasma (sp9) эдас-934 аденома предст.ж-зы слоеный изделие беременность род футбольный тотализатор спецобувь производитель обзвон выставочный витрина швейцария культура фотопечать срезанный цвет nokia 3230 купить гелусил лак билет russia music awards купить 6131 электрический прочность купить яйцеварку купить конвертер сдача ielts портативный радиостанция гильза цилиндр капсула миаози 1с бюджетирование домашний очаг здоровье купить видеокарту детский лагерь пионер витрина мороженый купить ниппель радиат купить блинницу прерывание беременность архыз summer кухонный угловой тестомесители сервер hp плата видеозахвата развальцовка подогреватель планирование день иностранный долг селин дион билет паркетный лак колодец канализационный пластиковый программа шифрование данный