Tento týždeň zachytili antivírusové spoločnosti novú verziu trojana Gpcode respektíve Gpcoder, ktorá je podľa ruskej antivírusovej spoločnosti Kaspersky Lab prvou úspešnou bezchybnou implementáciou škodlivého kódu šifrujúceho užívateľove súbory s pomocou asymetrického kryptografického algoritmu a požadujúceho výkupné.
Nová verzia označovaná Gpcode.ak používa 1024-bitový RSA kľúč v kombinácii s RC4, zašifruje všetky súbory typov, u ktorých sa dá predpokladať ich jedinečnosť, pôvodné súbory samozrejme zmaže a užívateľa po dokončení šifrovania informuje o možnosti zakúpenia dešifrovacieho programu respektíve kľúča.
Podobný škodlivý kód sa objavoval aj v minulosti, je označovaný termínom ransomware. Doteraz ale používal symetrické šifrovanie a tak bolo technicky možné zistiť kľúč na dešifrovanie alebo používal asymetrické šifrovanie, v ktorom sa nachádzali chyby a bolo rovnako možné zašifrované dáta dešifrovať, ako v prípade predchádzajúcich verzií Gpcode.
Nová verzia šifruje súbory s celkovo viac ako 120 koncovkami, prakticky všetky typy súborov, u ktorých je predpoklad, že by mohli obsahovať unikátne užívateľove dáta. Šifrované sú napríklad .doc, .msg, .txt, .xls, .cpp, .jpg ale tiež komprimované archívy. Výnimkou sú súbory uložené v adresári Program Files, súbory s nastavenými atribútmi system a hidden a súbory väčšie ako približne 700 MB.
V každom adresári, kde boli zašifrované nejaké súbory, nechá trojan textový súbor s emailovým kontaktom na yahoo.com, na ktorý sa je možné ozvať pre zakúpenie dešifrovacieho softvéru respektíve kľúča. Cena nie je uvedená.
Z doteraz zverejnených informácií spoločnosťou Kaspersky Lab vyplýva, že súbory sú podobne ako u bežných metód šifrovania zašifrované kombinovaným použitím symetrického a asymetrického algoritmu. Vlastné súbory sú šifrované algoritmom RC4 s náhodným vygenerovaným kľúčom pre dané PC, ktorý je samozrejme po zašifrovaní zmazaný a na disku zostáva len jeho zašifrovaná podoba verejnou častou 1024-bitového RSA kľúča distribuovaného v samotnom kóde trojana.
Škodlivý kód využíva k šifrovaniu knižnice Microsoft Enhanced Cryptographic Provider prítomné vo Windows. Pokiaľ nebude v kóde škodlivého kódu nájdená chyba v implementácii, súbory je možné získať späť zistením RC4 kľúča na danom PC alebo znalosťou privátneho RSA kľúča.
Autor trojana nemusí pri použitom spôsobe vôbec prezradiť privátny RSA kľúč ani užívateľom, ktorí si za odšifrovanie svojich súborov zaplatia. Môže im totiž len z nimi zaslaného súboru so zašifrovaným RC4 kľúčom poslať odšifrovaný RC4 kľúč postačujúci k odšifrovaniu súborov.
Keďže vo väčšine prípadov nebude zrejme možné zistiť RC4 kľúč, antivírusová spoločnosť Kaspersky Lab vyzvala v piatok na hľadanie privátnych kľúčov k používaným verejným RSA kľúčom, pričom zatiaľ neformálne vyzvala okrem iného vedecké a vládne organizácie. Trojan podľa doterajších zistení používa dva kľúče, jeden na Windows XP a vyšších verziách tohto OS a druhý na predchádzajúcich verziách Windows.
Podľa verejne známych informácií je ale nájdene privátneho RSA kľúča u 1024-bitového RSA v rozumnom čase nad sily súčasnej úrovne technológie. Kaspersky Lab odhadla potrebnú výpočtovú silu na súčasných moderných CPU na 15 miliónov počítačov bežiacich po dobu jedného roka.
Zatiaľ nie je známe, akými spôsobmi sa trojan dostáva do PC. V súčasnosti existuje ale samozrejme veľké množstvo efektívnych spôsobov distribúcie, okrem škodlivého kódu využívajúceho chyby v softvéroch aj napríklad v inštalačných súboroch sťahovaných z P2P sietí.
Rovnako nie je známa rozšírenosť trojana, identifikovali ho ale už aj ďalšie antivírusové spoločnosti. Podľa informácií Symantecu proti konkrétnej zachytenej verzii sa v súčasnosti nachádza už ochrana v definičných súboroch spoločnosti podobne ako u Kaspersky Lab. Ochrana je ale samozrejme účinná len voči spusteniu zachytenej vzorky pri kontrole v reálnom čase, nepomôže odšifrovať už zašifrované súbory a nemusí zabrániť spusteniu novej modifikovanej verzie.
Najúčinnejším riešením by samozrejme bolo vypátranie jeho autora, najmä sledovaním zaslaných peňazí, a získanie privátnych RSA kľúčov. V prípade, že za trojanom stojí niektorá z organizovaných skupín internetového podsvetia, šanca na úspech aj takéhoto riešenia môže byť minimálna.
Na diskusnom fóre zriadenom spoločnosťou Kaspersky Lab sa prakticky hneď objavili aj zaujímavé konšpiračné teórie. Viacerí diskutujúci prezentovali zaujímavú teóriu, podľa ktorej autori trojana sa týmto spôsobom len snažia získať privátny kľúč k RSA kľúču, ktorého privátny kľúč nepoznajú.
Motiváciou by samozrejme malo byť odšifrovanie nimi získaných veľmi dôležitých informácií, ktoré sú týmto RSA kľúčom zašifrované.
Autori trojana totiž mohli predpokladať, že pri zasiahnutí dostatočného počtu PC sa pokúsia antivírusové spoločnosti zistiť privátny kľúč s pomocou veľkej výpočtovej sily napríklad niektorých vládnych organizácií. Diskutujúci preto považujú za rozumné, aby sa prípadné hľadanie kľúča odštartovalo až v prípade, že bude potvrdené, že autori trojana vlastnia privátny kľúč. K tomu by samozrejme prišlo, ak by aspoň v jednom prípade po zaplatení autori trojana odšifrovali RSA algoritmom zašifrovaný RC4 kľúč.
V súčasnosti okrem obvyklých bezpečnostných opatrení a prípadne používania antivírusovej ochrany v reálnom čase proti známym zachyteným verziám trojana je jedinou úspešnou ochranou rovnaká ochrana ako proti škodlivému kódu, ktorý napríklad súbory maže, a to pravidelné zálohovanie dát. Keďže trojan šifruje aj archívy, účinné je samozrejme len zálohovanie na offline médiá respektíve iné PC alebo lokality.
Spoločnosť Kaspersky Lab informovala o objavení novej verzie Gpcode tu, verejné RSA kľúče s výzvou zverejnila tu a technické informácie o trojane poskytuje tu. Informácie Symantecu o novej verzii trojana je možné nájsť tu.
Prihlásiť na odber:
Zverejniť komentáre (Atom)
Žiadne komentáre:
Zverejnenie komentára