В ноябре 2010 мы опубликовали блогпост о новой разновидности программы-вымогателя Gpcode.

Сегодня «Лаборатория Касперского» обнаружила новый вариант зловреда в виде обфусцированного выполняемого файла. Дальнейшая информация доступна в техническом описании. Благодаря Kaspersky Security Network, угроза была автоматически обнаружена как UDS:DangerousObject.Multi.Generic.

Было добавлено специфическое детектирование; теперь зловред распознается как Trojan-Ransom.Win32.Gpcode.bn.

Заражение происходит при посещении вредоносного сайта (drive-by загрузка).

После выполнения GPCode генерирует 256-битовый ключ для алгоритма шифрования AES, используя Windows Crypto API, и шифрует его с помощью публичного RSA 1024 ключа киберпреступника. Зашифрованный результат будет сброшен на рабочий стол зараженного компьютера внутри текстового файла с требованием выкупа:

Важно заметить, что в отличие от образца ноября прошлого года, программа требует отправить выкуп платежом при помощи предоплаченных карт Ukash. Кстати, 24 марта мы обнаружили ransomware-программу, которая маскировалась под сообщение от полиции ФРГ — этот вымогатель также требовал провести платеж картой Ukash.

Похоже, киберпреступники уходят от старых добрых денежных переводов, предпочитая платежи предоплаченными картами. Сумма выкупа с ноября увеличилась с 120 до 125 долларов.

Мы получили несколько сообщений, в которых пользователи из разных стран просят нас помочь им справиться с заражениями вредоносной программой, которая очень похожа на троянца-шифровальщика GpCode образца 2008 года.

Как мы рассказывали ранее, этот тип вредоносного ПО очень опасен, потому что шансы восстановить ваши данные невелики. Это почти то же самое, что безвозвратное удаление информации с жесткого диска.

Впервые GpCode был зарегистрирован в 2004 году. Затем он периодически появлялся вплоть до 2008 года. Были и подражатели, которые создали несколько имитаций GpCode, не представлявшие действительной угрозы, поскольку в них не использовались стойкие криптографические алгоритмы.

И в 2006, и в 2008 годах нам удавалось предложить несколько способов лечения и даже расшифровки данных с помощью наших инструментов дешифрования.

Сегодня GpCode вернулся — и он более сильный, чем раньше. Предварительный анализ показал, что для шифрования используются алгоритмы RSA-1024 и AES-256. Зловред зашифровывает только часть файла, начиная с первого байта. В отличие от предыдущих вариантов, новая версия GpCode не удаляет файлы после шифрования. Вместо этого троянец записывает информацию поверх файлов, что делает невозможным использование ПО для восстановления данных — такого, как утилита PhotoRec, которую мы предлагали во время предыдущего пришествия шифровальщика.

Новая вредоносная программа добавлена в антивирусные базы ЛК и детектируется как Trojan-Ransom.Win32.GpCode.ax. Эксперты «Лаборатории Касперского» внимательно изучают нынешнюю версию троянца и будут информировать вас о любом полученном результате, который может помочь в восстановлении данных.

Если вы считаете, что ваш компьютер заражен, мы рекомендуем ничего не менять в системе. Это может помочь нам восстановить ваши данные, если мы найдем соответствующее решение. Стоит просто выключить компьютер. Хотя мы не обнаружили никаких свидетельств, подтверждающих наличие в троянце механизма удаления файлов с временным критерием, следует помнить, что перезагрузки и лишние включения зараженного компьютера могут помешать дальнейшему восстановлению, т.к. каждая загрузка/перезагрузка системы вносит изменения в файловую систему.

Люди, которые еще не сталкивались с этой проблемой, должны знать о ее существовании и распознать GpCode с первой секунды появления на экране предупреждающих сообщений. Кнопка Reset/Включение на вашем компьютере может спасти значительную часть данных. Пожалуйста, запомните это и сообщите своим друзьям.

Если на экране неожиданно появится всплывающее окно Блокнота с таким текстом:

или вид рабочего стола мгновенно изменится на что-то вроде этого:

Внимание!
Все ваши персональные файлы были зашифрованы с помощью сильного алгоритма RSA-1024, и вы не сможете получить к ним доступ, не выполнив наши требования!

Для получения инструкции по расшифровке прочтите txt-файл «Как расшифровать» на рабочем столе.

Сделайте это как можно скорее!

Помните: если вы хотите получить назад свои файлы не пытайтесь рассказывать кому-либо об этом сообщении! Просто делайте то, что мы вам говорим!

немедленно выключайте компьютер или выдерните шнур из розетки, если это самый быстрый способ его выключить!

Риск ущерба от нового троянца-вымогателя, о котором мы писали в предыдущем сообщении, оказался совсем не высоким. Несмотря на заявления автора троянца, использование алгоритма AES-256 и огромного количества возможных ключей оказались всего лишь блефом. Автор также не использовал схему шифрования с открытым ключом, а это значит, что все данные для дешифровки находятся в теле вредоносной программы.

Анализ схемы шифрования показал, что в программе применялся алгоритм 3DES. Автор поленился создавать программный код процедуры шифрования самостоятельно и воспользовался готовым компонентом среды разработки Delphi. Стиль программирования троянца весьма хаотичен, что говорит о невысоком уровне знаний разработчика.

Троянская программа детектируется нами с 11 августа под именем Trojan-Ransom.Win32.Gpcode.am. Процедура восстановления зашифрованных файлов включена в базы Антивируса Касперского. Для восстановления файлов необходимо обновить антивирусные базы и запустить полную проверку дисков на атакованном компьютере. Не удивляйтесь если кроме зашифрованных файлов антивирус обнаружит ещё и другие вредоносные программы, поскольку троян-шифровальщик распространялся при помощи другого троянца.

Сегодня мы получили настораживающее известие: появилась новая версия троянца Gpcode, шифрующего файлы. В тот же момент мы начали искать файлы в Сети, расспрашивая пострадавших пользователей. Мы получили текстовое описание троянца, но образца не нашли, так как троянец по-видимому самоудалялся после запуска.

Однако это нас не остановило, и мы продолжили поиски в Сети. Нам повезло: мы нашли экземпляр вредоносной программы по имеющимся у нас признакам. Она распространялась через один из ботнетов.

В текстовом файле crypted.txt, оставленном троянцем после атаки, автор требует 10$ за расшифровку файла, а также указывает контактные координаты: email, icq, URL. По адресу, указанному в файле crypted.txt, находится веб-страница, на которой на русском языке написано следующее:

После атаки троянец изменяет фон рабочего стола на следующий:

Мы настоятельно рекомендуем всем жертвам данной вредоносной программы не поддаваться на предложение автора купить ключ. Мы также хотим подчеркнуть, что вся информация, в частности, алгоритм шифрования, число уникальный ключей, а также длина ключа, указанные в текстовом файле, на данном этапе не подтверждена.

Пока мы не проанализировали алгоритм шифрования троянской программы, вы можете попробовать воспользоваться методом восстановления файлов, описанном нами в борьбе с Gpcode.ak. Уже есть подтверждения частичного восстановления файлов пострадавшими пользователями.

Наш адрес stopgpcode@kaspersky.com, созданный в борьбе с предыдущей версией этой вредоносной программы, по-прежнему работает. Если вы или ваши знакомые стали жертвой данного троянца, напишите нам на этот адрес, и мы предоставим вам информацию о том, что можно предпринять для возврата зашифрованных данных.

Мы уже писали в предыдущем сообщении про Gpcode, что нам удалось найти способ восстановления поражённых этой вредоносной программой файлов в плюс к тем файлам, которые восстанавливаются при помощи утилиты PhotoRec.

Оказалось, что если у пользователя имеется некоторое количество незашифрованных файлов и эти же файлы, зашифрованные Gpcode, то данные пары файлов (зашифрованный и соответствующий ему незашифрованный) могут помочь в восстановлении других файлов на атакованном компьютере. Именно этот подход использован в работе утилиты StopGpcode2.

Откуда возьмутся незашифрованные файлы? Незашифрованные версии файлов могут появиться в результате использования утилиты PhotoRec. Кроме того, незашифрованные файлы могут оказаться в хранилище резервного копирования или на съемном носителе (например, при сохранении фотографий с фотокамеры на жёсткий диск компьютера, который был атакован Gpcode, на карте памяти в камере могут остаться исходные файлы фотографий). Незашифрованные файлы могут также храниться где-нибудь на сетевом ресурсе, до которого не добрался вирус Gpcode (например, фильмы и видеоклипы — на общедоступном сервере).

Однако гарантировать восстановления файлов мы не можем в силу специфики необходимых для применения метода требований, которые зависят от наличия у пользователя незашифрованных копий поражённых файлов и некоторых особенностей оборудования атакованной системы. Тем не менее, учитывая, что в ходе исследования нами были получены неплохие результаты (восстановление 80% зашифрованных файлов), мы предлагаем попробовать данный метод восстановления файлов отчаявшимся пользователям.

Чем больше пар файлов удастся найти, тем больше данных удастся восстановить.

Детальная информация о применении утилиты опубликована в описании вредоносной программы Virus.Win32.Gpcode.ak.

Инициатива «Stop Gpcode» привлекла внимание специалистов по всему миру. К нам примкнули как отдельные исследователи, так и небольшие организации, заинтересованные в решении проблемы вируса-шантажиста.

Нас много спрашивают о методах распространения вируса. По результатам анализа нескольких зараженных компьютеров мы пришли к выводу, что вирус загружался на компьютеры пользователей с помощью другой вредоносной программы-бота с функцией Trojan-Downloader. Этой программой пострадавшие компьютеры были заражены задолго до появления на них вируса Gpcode, и, помимо Gpcode, бот использовался для загрузки множества других троянских программ.

Секретный (private) RSA-ключ для расшифровки по-прежнему не найден. Однако наша упорная работа над анализом алгоритма работы Gpcode.ak принесла пусть небольшой, но положительный результат: автор вируса сделал ошибку, которая позволяет при определенных условиях расшифровать часть файлов, не имея секретного RSA-ключа.

Следует отметить, что эффективность нового метода восстановления может составить от 0 до 98% всех зашифрованных файлов на компьютере и зависит как от конкретной компьютерной системы, которая подверглась атаке, так и от ряда дополнительных факторов. Среднее число файлов, которые можно восстановить на среднестатистической компьютерной системе, оценить пока невозможно.

В настоящее время наши специалисты работают над созданием утилиты для восстановления зашифрованных Gpcode.ak файлов с использованием нового метода.

Зашифрованные Gpcode.ak файлы, не имея секретного ключа, в настоящее время расшифровать невозможно. Тем не менее, мы нашли оптимальное решение для их восстановления.

Дело в том, что при шифровании файлов Gpcode.ak сначала создает новый файл «рядом» с тем, который он собирается шифровать. В этот новый файл он записывает зашифрованные данные исходного файла, после чего исходный файл удаляет.

Как известно, существует возможность восстановить удаленные файлы, если данные на диске не были сильно изменены. Именно поэтому мы с самого начала рекомендовали пострадавшим пользователям не перезагружать компьютер и связаться с нами, а тем, кто к нам обратился, советовали использовать различные утилиты для восстановления удаленных файлов с диска. К сожалению, почти все утилиты для восстановления удаленных файлов распространяются на основе shareware-лицензий. Мы искали лучшее — с точки зрения эффективности и доступности для пользователей — решение, которое могло бы помочь им восстановить файлы, удаленные Gpcode.ak после шифрования. И нашли его.

Это замечательная бесплатная утилита PhotoRec, созданная Christophe Grenier и распространяющаяся на основе лицензии GPL.

Изначально утилита создавалась как средство для восстановления графических файлов (видимо, отсюда и её название PhotoRec — сокращение от Photo Recovery). Затем её функционал был расширен, и в настоящее время она может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы.

Утилита PhotoRec поставляется в составе последней версии пакета TestDisk.

Следует отметить, что утилита PhotoRec отлично справляется со своей задачей — восстановлением файлов на выбранном разделе. Однако затем возникает трудность восстановления точных имен и путей файлов. Здесь мы решили помочь пользователям и разработали небольшую бесплатную программу StopGpcode, которая позволяет вернуть оригинальные имена файлов и полные пути, по которым они находились.

Мы рекомендуем пострадавшим от действий Gpcode.ak пользователям, вместо того, чтобы платить злоумышленнику, внести свой вклад в добровольные пожертвования автору замечательной утилиты PhotoRec!

Подробная инструкция для восстановления файлов ручным способом с использованием утилит PhotoRec и StopGpcode добавлена в описание Gpcode.ak.

Поскольку решение задачи расшифровки ключа нового Gpcode не гарантировано вследствие значительной длины ключа, и никому не ясно, когда удастся его расшифровать, и удастся ли, — хочется напомнить нашим читателям поговорку: «На бога надейся, а сам не плошай».

Помните: пассивность «жертв» развязывает руки мошенникам. Если уж вы не вынесли того, что ваши персональные данные потеряны и помчались за карточкой пополнения электронного кошелька, чтобы покорно передать ее пин-код злоумышленнику — не забудьте сообщить *номер* этой карты в службу поддержки соответствующей платежной системы. Таким образом вы поспособствуете отслеживанию действий злоумышленника.

Как бы злоумышленник ни прятался, его отслеживание, по крайней мере, даёт шанс его обнаружить. Пассивность пострадавших, напротив, даёт гарантию того, что мошенник никогда не будет пойман — а значит, пострадавшие могут пострадать еще раз (или не раз).

Примечание. Третий блог-постинг на одну и ту же тему может вызвать у наших читателей ощущение, что имеет место эпидемия. Это не так. Известных нам случаев заражения действительно мало, это факт. Но дело в том, что речь идет о глобальной проблеме. Воспринимайте мое напоминание в контексте всей прошлой — длинной и громкой — истории с Gpcode и ее возможного продолжения, а также в контексте вашей личной информационной безопасности в целом.

4 июня 2008 года специалистами ЛК был обнаружен новый вариант опасной вредоносной программы — шифровальщика «Gpcode».

Для шифрования файлов новый вариант Gpcode использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA длиной 1024 бит, содержащимся в теле вируса.

До сих пор все попытки факторизации ключей RSA останавливались на отметке 663 бит, решение этой задачи потребовало трехмесячной работы кластера из 80-ти компьютеров.

Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей и фундаментальной криптографической проблемой.

По нашим оценкам, на взлом подобного ключа требуется примерно год работы пятнадцати миллионов современных компьютеров.

Мы не обладаем подобными вычислительными мощностями.

«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы.

Мы считаем задачу «взлома» ключа RSA-1024, который использовал злоумышленник, первым в истории случаем, который требует объединения накопленных знаний и существующих вычислительных ресурсов для достижения практической и благородной цели, а не только для академических исследований или хакерства.

Мы публикуем открытые ключи, использованные автором Gpcode.

Один ключ используется для шифрования в операционных системах Windows XP и выше.

Второй — в Windows ранних версий (до Windows XP).

Экспонента для обоих ключей: 0x10001 (65537).

Этой информации достаточно для того, чтобы специалисты смогли приступить к факторизации ключа.

Значительную помощь в решении задачи может оказать создание специальной утилиты для проведения факторизации.

«Лаборатория Касперского» готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум «Stop Gpcode».

Наша антивирусная лаборатория обнаружила новую версию опасного вируса, известного как Gpcode. Вирус шифрует пользовательские файлы из широкого набора расширений: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др.

Детектирование нового вируса Virus.Win32.Gpcode.ak было добавлено в антивирусные базы вчера, 4 июня 2008 года. На данный момент расшифровать поражённые файлы не представляется возможным, поскольку вирус использует криптостойкий алгоритм шифрования RSA с длинной ключа 1024 бита.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

На этом принципе основан вирус Gpcode. Он шифрует пользовательские файлы при помощи имеющегося у него открытого ключа, находящегося в теле вируса. Расшифровать файлы затем может лишь владелец секретного ключа, т.е. автор вредоносной программы Gpcode.

«Лаборатория Касперского» уже сталкивалась с вирусом Gpcode ранее (см. статью «Шантажист»), и нам удавалось получить секретный ключ путем детального криптоанализа имеющихся данных. До сих пор максимальная длина ключа RSA, которую нам удалось «взломать» составляла 660 бит, и взлом был возможен благодаря неосторожным допущениям автора в реализации алгоритма шифрования. Автор выждал почти 2 года прежде чем создать новую усовершенствованную версию вируса с RSA-шифрованием, и эта новая версия больше не содержит старых ошибок.

При обнаружении первых версий Gpcode на основе RSA в 2006 году мы предупреждали, что в случае аккуратного использования RSA вирусописателем, мы не сможем помочь пользователям, файлы которых окажутся зашифрованы. Шифрование файлов таким образом равносильно их несанкционированному копированию на компьютер преступника с удалением с компьютера пользователя. В таких случаях помочь могут лишь уполномоченные правоохранительные органы.

После шифрования файлов вирус оставляет текстовое сообщение рядом с зашифрованными файлами, в котором говорится:

К сожалению, пути распространения вируса пока не определены, поэтому мы рекомендуем включить все имеющиеся у вас компоненты защиты от вредоносных программ.

ВНИМАНИЕ! Если вы стали свидетелем такого сообщения на своём компьютере:

...То, скорее всего, он был атакован Gpcode.ak. В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет.

Напишите нам на email stopgpcode@kaspersky.com и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли. Мы постараемся помочь вам вернуть зашифрованные данные.

Несмотря на трудность сложившейся ситуации, наши аналитики продолжат анализировать вирус и искать подходы для дешифровки файлов без секретного ключа.