[NEWS] Kaspersky Lab ha scoperto un nuovo pericoloso virus "blackmail"

[c.m.g]

venerdì 6 giugno 2008

Spoiler:

Quote: Kaspersky Lab, leader nell’elaborazione di sistemi di protezione da malware, attacchi hacker e spam, annunucia di aver identificato una nuova versione di Gpcode, il pericoloso virus "blackmail". La nuova versione del virus è stata battezzata Virus.Win32.Gpcode.ak. L’indirizzo stopgpcode@kaspersky.com è a disposizione degli utenti di Kaspersky Lab in caso di infezione.

Il virus cripta i file di varia tipologia (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h e altri) grazie a un algoritmo di codificazione RSA funzionante con una chiave di 1024 byte.

La firma di Virus.Win32.Gpcode.ak è stata aggiunta al database antivirus di Kaspersky Lab il 4 giugno 2008.

Non è la prima volta che Kaspersky Lab rileva altre versioni del virus Gpcode (cf. il recente rapporto di uno dei nostri ricercatori «Emergenza dei primi codici maligni blachmail» (in inglese) http://www.viruslist.com/analysis?pubid=189121344) e in ogni caso, gli esperti dell'azienda erano stati in grado di ottenere la chiave segreta grazie a un'analisi crittografica dettagliata dei dati che avevano a disposizione.

Fino ad oggi, la lunghezza massima della chiave RSA che gli specialisti di Kaspersky Lab siano riuscita a decifrare, era di 660 bit. Per farsi un'idea, si tenga presente che per identificare una chiave di questa lunghezza con un computer dotato di un processore di 2,2Ghz ci vorrebbero circa 30 anni.

Dopo questo incidente, l'autore di Gpcode ha pazientato quasi 2 anni prima di creare una nuova versione più performante del suo virus, fatta l'esperienza dei vecchi errori e impiegando una chiave ancora più lunga.

Attualmente, non abbiamo ancora potuto decriptare i file-vittima, dal momento che il virus, in questa sua nuova variante, utilizza una chiave di 1024 bit . Solamente una chiave segreta, che per il momento si trova verosimilmente in possesso dell'autore del virus, permette di decifrare gli oggetti criptati da Virus.Win32.Gpcode.ak.

Gli analisti di Kaspersky Lab continuano a lavorare sul virus scoperto e a cercare un mezzo per decifrare i file.

Il virus aggiunge la firma _CRYPT all'estensione dei file criptati appena creati e colloca un file di testo chiamato !_READ_ME_!.txt nella stessa cartella. Questo file informa l'utente del fatto che il file è stato criptato e gli offre di acquistare un decodificatore:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com



Traduzione - I vostri file sono criptati da un algoritmo RSA-1024. Per ripristinare i vostri file dovede acquistare il nostro decodificatore. Per comprarlo, contattateci all'indirizzo ********@yahoo.com.]

Fonte: vistatrucchi.blogspot.com via Kaspersky Lab

[eraser]

essì, mo so cazzi (licenza poetica)

[sampei.nihira]

http://www.viruslist.com/en/viruses/...id=313444#doc3

Qualche dettaglio in più specie sui files criptati.

[eraser]

Per inciso, era atteso da parecchio questo malware.

Ne stavo parlando due annetti fa in chat con un collega. Speravamo solo che non arrivasse

[sampei.nihira]

Quote:

Originariamente inviato da eraser

Per inciso, era atteso da parecchio questo malware.

Ne stavo parlando due annetti fa in chat con un collega. Speravamo solo che non arrivasse

Ma ci sarà qualcuno che pagherà per avere la chiave ?

E' un ricatto criminale classico.

[Mafio]

Quote:

Originariamente inviato da sampei.nihira

Ma ci sarà qualcuno che pagherà per avere la chiave ?

E' un ricatto criminale classico.

qualcuno con dati importati lo farà eccome...

[eraser]

Quote:

Originariamente inviato da sampei.nihira

Ma ci sarà qualcuno che pagherà per avere la chiave ?

E' un ricatto criminale classico.

Mah, ci sono alcune vie che possono essere seguite, ma ti assicuro che non sarà facile se non hanno fatto errori nell'implementazione dell'algoritmo.

[sampei.nihira]

Quote:

Originariamente inviato da Mafio

qualcuno con dati importati lo farà eccome...

Sarei curioso di vedere con quale efficienza il virus cancella i dati in chiaro e se tramite un programma ad hoc sia possibile recuperare dall' HD i files originali.

[sampei.nihira]

Quote:

Originariamente inviato da eraser

Mah, ci sono alcune vie che possono essere seguite, ma ti assicuro che non sarà facile se non hanno fatto errori nell'implementazione dell'algoritmo.

Già,lo penso anche io !!

[riazzituoi]

.

[eraser]

Quote:

Originariamente inviato da riazzituoi

La Microsoft potrebbe essere d'aiuto...

Dubito

[riazzituoi]

.

[Dark_Programmer]

secondo me è solo una questione di tempo.
Gli analisti di kaspersky riusciranno a decifrare la chiave col tempo..

[Chill-Out]

Quote:

Originariamente inviato da Dark_Programmer

secondo me è solo una questione di tempo.
Gli analisti di kaspersky riusciranno a decifrare la chiave col tempo..

Se non hanno sbagliato qualcosa nell'algoritmo RSA 1024 di tempo ce ne vorra parecchio

[Dark_Programmer]

Quote:

Originariamente inviato da Chill-Out

Se non hanno sbagliato qualcosa nell'algoritmo RSA 1024 di tempo ce ne vorra parecchio

Questo è anche vero..

[eraser]

Riporto un post di Vesselin Bontchev:

Quote:

Hello folks,

Given that The Man himself (Eugene Kaspersky) has graduated from KGB's School of Cryptography, he really ought to have known better and should have killed this idea before it became public. What is proposed here is unrealistic, useless waste of time that will fail. Perhaps it is just a publicity stunt from the part of Kaspersky Labs' marketing department.

In particular:

1. The estimate of "15 million computers" is wildly optimistic.
2. The hope that you'll get 15 million participants/computers is wildly optimistic. For comparison, the Mersenne Prime Search project has only about 53,000 members and probably less than 100,000 computers.
3. The estimate of "1 year" is wildly optimistic.
4. This virus isn't widespread enough to be worth such an effort.
5. Do you really believe that the victims will sit and wait for a year or more for their data to be (hopefully) decrypted? For all practical purposes, the data is gone. Just recover from backups. If you don't have any - consider it an expensive lesson why you should have them.
6. It is much easier to break the RC4 cypher than it is to factor a 1024-bit product of two primes - although both are prohibitively expensive, unless RC4 has been used incorrectly (like Microsoft did in Office).
7. It is much easier to pay the bad guys once and get a decryption utility - the private keys have to be there.
8. You'll never be able to find the bad guys anyway - even for paying them.

I am not going to argue this issue, though - I have better things to do with my time. Those of you who know me from the anti-virus industry should know that when I say something on the subject of viruses, I'm usually right. Those who don't believe that I am right now too, will be proven wrong in one year when this project fails, as it inevitably will.

The only use of this project is for generating free publicity for Kaspersky Labs.

Regards,
Vesselin

[Ignorante Informatico]

Certo che questa forma di ransomware potrebbe rivelarsi devastante, se il target iniziasse ad includere anche i normali utenti.


@riazzituoi:

ti riferisci a quella famosa breccia?

[riazzituoi]

.

[eraser]

Spero che parlando così tu abbia delle solide basi di crittoanalisi e di crittografia

[Ignorante Informatico]

Quote:

Originariamente inviato da eraser

Spero che parlando così tu abbia delle solide basi di crittoanalisi e di crittografia

Beh, qualcuno di nome Bruce Schneier, riguardo all'ultimo punto del post di riazzituoi, ha espresso alcune considerazioni