«Лаборатория Касперского» сообщает о появлении опасного вируса-шантажиста

Александр Панасенко 06 Июня 2008 - 13:17

...

«Лаборатория Касперского», сообщает о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса получила название Virus.Win32.Gpcode.ak.

Вирус шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит.

Сигнатура вируса Virus.Win32.Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.

«Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.

До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.

На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит. Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса.

Аналитики «Лаборатории Касперского» продолжают анализировать обнаруженный вирус и искать способы дешифровки файлов.

К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:

«Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com»

«Лаборатория Касперского» настоятельно рекомендует пользователям, увидевшим такое сообщение на своем компьютере, обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

Сотрудники «Лаборатории Касперского» приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.

Кроме того, пользователям ни в коем случае не следует идти на поводу у киберпреступников и выплачивать им требуемый выкуп, так как это мотивирует их продолжить свою преступную деятельность и совершенно не гарантирует жертве получения дешифратора.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 16:47

Корпорации Security Vision

В платформе Security Vision обновили API, формы, экспорт, проверку вложений

Компания Security Vision выпустила новое обновление своей платформы. В этот раз разработчики сосредоточились не на одной большой функции, а сразу на нескольких практических направлениях: API и интеграционных сценариях, экспорте и переносе настроек, визуализации данных, работе с формами, а также на механизмах безопасности и аудита.

Одна из заметных доработок касается API. В методе получения объектов платформы появилась возможность выгружать свойства объектов, связанных с исходным.

На практике это должно упростить интеграцию с внешними системами и работу со связанными данными в более сложных сценариях автоматизации.

Изменения затронули и рабочие процессы. В действие «Вызов коннектора» добавили возможность переопределять конфигурацию JEA для PowerShell-коннектора. Это даёт больше контроля над тем, как именно выполняются интеграционные сценарии.

Отдельный блок изменений связан с экспортом и переносом конфигурации. Теперь при экспорте настроек правила корреляции можно выбрать, выгружать их вместе с обработчиком или без него. Такой подход делает перенос между контурами более гибким и позволяет точнее собирать пакеты под конкретные задачи.

Также доработали логику применения признака «Только для вставки» в подготовленных пакетах экспорта. Эта настройка стала точнее работать по отношению к исходной сущности и дочерним элементам, что должно снизить вероятность ошибок при переносе конфигурации.

Есть и обновления в части аналитики и визуализации. В платформе появилась возможность ограничивать количество категорий данных на виджете. Те категории, которые не попадают в заданный лимит, можно либо объединять одним цветом, либо вообще не показывать. Это полезно в случаях, когда данных много и визуализация начинает терять читаемость.

Для блока содержимого «Граф» добавили обводку иконок объектов. Изменение небольшое, но вполне практичное: в сложных схемах и связях так проще выделять нужные элементы.

Ещё одна группа доработок касается форм и связанных данных. Для связанных таблиц, которые настраиваются в формах ввода и вывода для свойства типа «Таблица», появился отдельный редактор. Это должно сделать работу со сложными структурами данных удобнее и понятнее.

В части безопасности обновление тоже получилось вполне прикладным. В чате реализовали проверку прикрепляемых файлов не только по формату, но и по сигнатуре. Такой подход помогает лучше отсеивать нежелательные или потенциально опасные вложения.

Кроме того, в журнале аудита теперь фиксируется IP-адрес хоста, с которого пользователь выполнил действие через веб-интерфейс. Для расследований, контроля действий и общего понимания пользовательской активности это вполне полезное дополнение.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!