Программное обеспечение, Web технологии и Интернет
  •  Email RSS
  • Twitter

ЖАЛКИЕ ПОСЛЕДОВАТЕЛИ GPCODE

Шифровальщики — это, пожалуй, самое неприятное, что можно подцепить в этих ваших интернетах. Все файлы определенных типов, например фотографии или документы Microsoft

Office, шифруются и за ключ расшифровки требуют деньги.

Очень актуальна эта проблема для малых коммерческих фирм, работающих с бухгалтерией при помощи продуктов 1С, — тем более что понятие о безопасности в таких конторах, как правило, отсутствует напрочь.

Наиболее часто встречаются сейчас среди русскоязычных пользователей шифровальщики семейства Trojan-Ransom.

Win32.Xorist (в терминологии «Лаборатории Касперского»), англоязычная версия также в наличии. При успешном срабатывании Xorist пользователь будет лицезреть веселенький текст следующего содержания:

Хай! Пиплы! Комон на борт нашего «Летучего голландца».

Как видно, ребята подобрались с юмором. Засилье Xorist объясняется сборкой его с помощью билдера, легкодоступного жадным детишкам.

Вот еще один образец послания от вымогателей (Trojan.

Encoder.205 и Trojan.Encoder.215): д. зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.

com.

Заражение Trojan.Encoder.205 и Trojan.Encoder.215 происходит с использованием массовой рассылки сообщений электронной почты (Владимир, это ты так спам называешь? — Прим. ред.). Исполняемый файл шифровальщика с именем update.exe (написан на Delphi) размещается на удаленных серверах, шелл-код, который подгружает этот файл, располагается во вредоносном документе Microsoft Word и использует для своего запуска эксплуатацию уязвимости CVE-2012-0158.

Отдельные разработчики проявляют чуть больше изобретательности в реализации своих идей. Специалисты компании Dr.Web в этом году зафиксировали во Франции и Испании множество случаев заражения пользователей трояном ArchiveLock.20. Для шифрования он имеет на борту консольную версию WinRAR, при помощи которой создает по заранее составленному списку защищенные паролем самораспаковывающиеся архивы с файлами пользователя. Пароль может иметь длину более 50 символов. Исходные файлы зачищаются с диска, чтобы их было невозможно восстановить. Киберпреступники отличаются неслыханной наглостью и требуют за расшифровку

5000 долларов. ArchiveLock распространяется посредством bruteforce-атак на протокол RDP.

Для расшифровки ваших бесценных файлов нужно обратиться к специалистам антивирусных компаний. Отечественные конторы делают это на бесплатной основе и постоянно выпускают обновленные версии дешифровальщиков для отдельных видов угроз. К сожалению, некоторые их виды, например GPCode, оказались им не по зубам. Версия GPCode 2011 года может считаться неким «эталоном» шифровальщика, она использует Windows

Crypto API и шифрует файлы пользователя случайным сеансовым ключом

AES длиной 256 бит. Сеансовый ключ сохраняется в зашифрованном виде, шифрование производится открытым ключом RSA длиной 1024 бита, который находится внутри GPCode. Чтобы невозможно было восстановить их утилитами типа PhotoRec или GetDataBack, шифрованные данные пишутся прямо в исходный файл. Также эта уловка затрудняет использование метода plain text attack, суть которого заключается в определении сеансового ключа на основе пары файлов — исходного и зашифрованного. Стоит отметить, что автор GPCode совершенствовал свое детище аж с 2004 года! За это время код проделал долгий путь от использования

«самопальных» алгоритмов шифрования до применения достаточно стойких алгоритмов RC4 и AES в совокупности с RSA, которые не под силу взломать (пока) всем IT-специалистам мира.

В свете этого становится непонятно, почему шифровальщики нашего времени, подобные Xorist, тоже используют собственные «мегаразработки». Видно, современная криптография вкупе с необходимостью юзать Windows Crypto API или фришную реализацию криптофункций OpenSSL не дается нынешнему поколению кулхацкеров, только открывших для себя логическую функцию XOR.

Категории: Безопасность

Файлообменник без регистрации

Несведущие люди могут думать о том, что Интернет — это [...]

Как заработать деньги на форуме?

Сейчас можно легко заработать на форуме. Этот метод заработка доступен [...]

"Киевстар" рассказал об успехах

  Украинскому оператору связи «Киевстар» по итогам II квартала удалось [...]

Twitter снова купил рекламный стартап

Руководство Twitter завершило сделку по приобретению рекламного стартапа, который носит [...]

Системы электронных платежей

Существует очень большое количество сервисов, которые помогают перевести средства через [...]

Яндекс прощается с рейтингом блогов

Поиск по блогам Яндекса прекратил поддержание рейтинга блогеров и блогхостингов, [...]

Бразильский интернет станет безопаснее

Парламент Бразилии внес законопроект о безопасности интернета, работу над которым [...]

Баннерная реклама в Интернете

В интернете существует множество видов рекламы, одним из этих видов [...]


Смотрите так же: