neprihlásený Sobota, 23. novembra 2024, dnes má meniny Klement
Tvorcovia RSA ransomwaru poskytli DSL.sk šifrovaciu schému

DSL.sk, 14.6.2008


Tvorcovia ransomwaru Gpcode, škodlivého kódu šifrujúceho užívateľove súbory s pomocou asymetrického kryptografického algoritmu a požadujúceho výkupné, poskytli serveru DSL.sk kompletnú použitú šifrovaciu schému.

Základné informácie o použitom šifrovaní určujúce charakter tohto ransomwaru zverejnila už ruská antivírusová spoločnosť Kaspersky Lab, presná schéma podľa dostupných informácií doteraz zverejnená nebola.

Na každom PC najnovšia verzia Gpcode vytvorí náhodný hlavný 128-bitový RC4 kľúč. Pre každý jednotlivý súbor vytvára osobitný 128-bitový kľúč pre RC4 symetrické šifrovanie, ktorý je potrebný aby pri známom obsahu niektorého zo zašifrovaných súborov nebolo priamo možné zistiť generovaný keystream a použiť ho k odšifrovaniu ostatných súborov.

Pre vygenerovanie kľúča pre každý zo súborov je vygenerovaný náhodný 128-bitový blok, ktorý je zašifrovaný hlavným RC4 kľúčom. Následne je aplikovaný algoritmus SHA 1, 128 bitov z výsledku ktorého je použitých ako RC4 kľúč pre šifrovanie daného súboru. Do šifrovaného súboru je uložených aj náhodných 128 bitov vygenerovaných v prvom kroku pre tento súbor, aby bolo samozrejme možné so znalosťou hlavného RC4 kľúča súbor odšifrovať.

Po skončení všetkých šifrovacích operácií je hlavný RC4 kľúč zašifrovaný 1024-bitovým pevným verejným RSA kľúčom používaným Gpcode na každom PC a výsledok je uložený do súboru !_READ_ME_!.txt v každom adresári, kde sa nachádza nejaký zašifrovaný súbor.

=== BEGIN ===
AD7D6889
010200000168000000A4000054A3A7A1C7FE3F38
151636C01C06F16343D6867995AC67AEC3BD2288
9C3B0F5E5DE2E5E3F5C10719CD1B3C34686016E3
C5FA2A5243C8527FC6C699F00FE8384C7A36B976
B89B92C72C0AC58217C90C6014CC63A9ABA3F809
1C3146BFB88F6B01187EF2AAA33027D0A7B14FC5
96F768180AFD15BF4DED058C5F179E71A2774C51
=== END ===
Príklad hlavného RC4 kľúča zašifrovaného RSA a uloženého v súbore !_READ_ME_!.txt



Obeť Gpcode je v súbore !_READ_ME_!.txt vyzvaná na emailové kontaktovanie tvorcov Gpcode, ktorí podľa dostupných informácií obete vydierajú a požadujú od 100 do 200 dolárov za poskytnutie softvéru na dešifrovanie. Pre vytvorenie softvéru na dešifrovanie je potrebné zaslať súbor !_READ_ME_!.txt respektíve šifrovaný kľúč z neho, ktorý tvorcovia Gpcode odšifrujú privátnym kľúčom k používanému RSA kľúču.

Tvorcovia pre DSL.sk tvrdili, že ich kontaktuje a je ochotných zaplatiť odhadovaných 10 až 20% obetí tohto ransomwaru.


Schéma poskytnutá tvorcami Gpcode



Jediným v súčasnosti dostupným riešením pre obete novej verzie Gpcode je možné použitie softvéru na obnovu zmazaných súborov, keďže šifrované súbory sú vytvárané nanovo a pôvodné sú zmazané. Pri veľkom počte šifrovaných súborov to ale pravdepodobne neprinesie uspokojivé výsledky, keď pri procese šifrovania budú postupne prepisované staršie zmazané súbory.

Stále nebola definitívne oficiálne vyvrátená ani možnosť, že autori Gpcode v skutočnosti privátny kľúč k používanému RSA kľúču nepoznajú a práve takýmto spôsobom sa snažia zabezpečiť, aby ho napríklad antivírusové spoločnosti začali hľadať. Vlastníctvo privátneho kľúča k používanému RSA kľúču by potvrdili napríklad poskytnutím funkčného softvéru na dešifrovanie aspoň jednej z obetí, takýto prípad ale zatiaľ podľa dostupných informácií nebol verejne zdokumentovaný.


      Zdieľaj na Twitteri



Najnovšie články:

Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky


Diskusia:
                               
 

šikovny hackeri :)
Odpovedať Známka: -2.9 Hodnotiť:
 

Veru, šikovný sú ...
Odpovedať Známka: -2.7 Hodnotiť:
 

mozno je to navnada pre mikrosoft aby sa priznal ze v tej ich kniznici je nejaka "neumyselna chyba" ktora obetiam umozni relativne jednoduche odsifrovanie...
.
alebo ak sa vysledky z onej kniznice priebezne "niekam zalohuju", dal by sa ten vygenerovany rc4 kluc odtial vytiahnut (ale to by sa zase musel mikrosoft priznat a bola by to dost vazna bezpecnostna afera)
Odpovedať Známka: 0.0 Hodnotiť:
 

spravne ma byt crackery (nie krekry :D )
Odpovedať Známka: 3.3 Hodnotiť:
 

Spravne to ma byt s "i".
Odpovedať Známka: 7.1 Hodnotiť:
 

to by potom boli nejake moc makke krekri :D
Odpovedať Známka: 4.7 Hodnotiť:
 

nejde mi vyhladavat na google.sk a tebe?
Odpovedať Známka: -4.3 Hodnotiť:
 

tak nic bol to vir
Odpovedať Známka: 5.0 Hodnotiť:
 

Ak Ti nejde aj Yahoo, mas virus
Odpovedať Známka: 3.3 Hodnotiť:
 

Ani mne to neide, neide ani Yahoo, ale iba na stolnom PC, ani Gmail a pokec neide. Na notebooku to ide, najaká blbosť v tom bude.
Odpovedať Známka: 5.0 Hodnotiť:
 

sheby napisal sikovny tak som automaticky napisal crackery
btw podla mna to nie su rusi :D
Odpovedať Známka: 5.0 Hodnotiť:
 

Podla mna su to buz_eranti takych by som zavesil za gul€ a pri hojdavom pohybe sa ich spytal, ci to este spravi...
Odpovedať Známka: 5.0 Hodnotiť:
 

hlavne by to mohlo byt aspon gramaticky spravne...
Odpovedať Známka: 2.7 Hodnotiť:
 

v obrazku je mrkvosoft gryptokrahpic provinder a pod nou je napisane ze je to poskytnute tvorcami GPCODE.
Tak co som z jahody zpadol ?
Odpovedať Známka: -5.0 Hodnotiť:
 

To je knižnica nachádzajúca sa štandardne vo Windows, ktorú používajú minimálne na štyri kryptografické operácie vnútri toho obdĺžnika vyznačené červenou farbou.
Odpovedať Známka: 6.0 Hodnotiť:
 

to akože ruski tinejdžeri si urobili virus, chytaju peňeži cez egold, a ešte aj urobia rozhovor ? ja som asi z tej jahody spadol
Odpovedať Známka: 6.4 Hodnotiť:
 

z orecha kralovskeho
Odpovedať Známka: 0.0 Hodnotiť:
 

To mas tak... To ze sa tam pise o sifrovacej kniznici microsoftu znamena len to ze ten virus pouziva tu kniznicu na sifrovanie. V scheme je ta cast oznacena modrym ramcekom a to co je mimo toho ramceka uz je cast ktora sa tyka samotneho virusu. V podstate nic "svetoborne" neprezradili pretoze to co sa na scheme da vidiet je len funkcna cast sifrovacieho algoritmu vymysleneho microsoftom a len to ostatne (co sa nachadza mimo modreho ramceka) je popis virusu... velmi kostrbaty popis virusu...
Odpovedať Známka: 0.0 Hodnotiť:
 

To musim potvrdit, fakt sikovny hackery, pekne sa im zaraba, svine jedne. Inac by ma zaujmalo ako sa k tomu dostala redakcia DSL.sk. To si s nimi pisete maily xD. To Vas musim taktiez pochvalit, ze aj vy ste sikovny :-), hlavne ak ste prvy kto tento sifrovaci mechanizmus zverejnil ako prvi na svete. To ste sa s nimi ako zoznamili, nemozete poskytnut mail alebo nieco podobne aj ja si chcem pokecat so sikovnymi hackermi xD
PS: neberte to vazne je to iba vtip :-)
Odpovedať Známka: 0.0 Hodnotiť:
 

no sak sa vcera stretli v senku a pri pivku to v pokoji prediskutovali :D
Odpovedať Známka: 0.0 Hodnotiť:
 

Dneska v době online komunikace není nic problém. A podle mě tyhle lidi dělají záslužnou činnost. Infikují se v drtivé většině ti, kteří mají hardisk plný kradeného softu. Proto si myslím, že těch 10-20% je celkem vysoké číslo. :-))
Pokud to sníží míru kradení software, tak to má i pozitivní efekt.
Odpovedať Známka: -3.3 Hodnotiť:
 

ok tak mi zabezpeč Ačko zo železobetónových sústav bez učenia.. teda ak platí tá tvoja prvá veta
Odpovedať Známka: 5.0 Hodnotiť:
 

to by bola pecka keby niekto zaviril server (aj backup) a zasifroval by vsetky data ;)
Odpovedať Známka: 3.3 Hodnotiť:
 

Ano znizi to mieru windowsov na PC ;)
Odpovedať Známka: -2.0 Hodnotiť:
 

Tak ak sú tí Rusi šikovní, tak vy dvaja určite nie, pretože ste zabudli, to čo ste sa naučili na ZŠ, a to, že sa v nominatíve m.č. používa I.
Odpovedať Známka: 1.4 Hodnotiť:
 

teraz si prečítaj čo si napísal....

Odpovedať Známka: -2.0 Hodnotiť:
 

Tak cela redakcia, klobuk dolu. Toto vam mozu zavidiet vsetky antivirusove firmy :-) len tak dalej. Kvalita clankov sa stale zvysuje. Dufam ze este niesme za vrcholom ked to pojde uz len dolu.
Odpovedať Známka: 0.0 Hodnotiť:
 

Tvorcov ransomwaru Gpcode by som dal popravat na namesti pre vystrahu ostatnym stupidnym ludom co zneprijemnuju pracu na pocitaci !!!!
Odpovedať Známka: 0.6 Hodnotiť:
 

Napriklad postarka ma minule vyrusila, co poriadne zneprijemnilo pracu ... ^^
Odpovedať Známka: 2.5 Hodnotiť:
 

Admini z DSL priznajte sa, kto z vas je za tym ransomwarom? :D :D
Odpovedať Známka: 6.0 Hodnotiť:
 

Musim pochvalit redakciu za vynikajuce definicie, clanky k tymto temam...
Odpovedať Známka: 5.0 Hodnotiť:
 

je to fuckt kruteeee mrte kruteee
Odpovedať Známka: 2.0 Hodnotiť:
 

Mam jednu otazku:

Ked budem chodit na net cez virtualny system (WMware Workstation) je nejaka sanca, ze sa ten ramsonware dostane aj do normalneho systemu cez ten WMware ??? Predpokladam, ze nie a staci potom zmazat ten nakazeny system a vytvorit novy virtualny. Alebo sa mylim ?
Odpovedať Známka: 4.3 Hodnotiť:
 

áno
Odpovedať Známka: 2.0 Hodnotiť:
 

Ak bude mat aj hostitelksy pc pristup k sieti... :)
Odpovedať Známka: 0.0 Hodnotiť:
 

Ak mas v tej VM pristupne nejake casti hostitelskeho suboroveho systemu aj na zapis, tak ti tie casti moze aj ohrozit. Napr. ak ma VM pravo na zapis do My Documents, tak ti to tam gpcode moze zasifrovat a dokonca nezavisle na tom, aky pouzivas hostitelsky operacny system.
Odpovedať Známka: 5.0 Hodnotiť:
 

Vsetko toto je pekne ale jedne veci nerozumiem. Posledny krok ktory vykonavaju je ze zasifruju kluc do asymetrickej RSA sifry. Lenze ta sifra vytvara verejny aj privatny kluc. Verejnym to zasifruju. Nikde som ale necital zeby si ten privatny posielali cez net a to znamena dve veci:
1. Privatny kluc naozaj nepoznaju
2. Privatny a verejny kluc su staticke pre kazdy program a tym padom su nakodene priamo v ransomware. Kedze existuje iba jeden verejny a jeden privatny, staci aby sa nejak ten privatny prezradil (napr ze antivirusova firma zaplati) a je po probleme.

Horsie by bolo keby tie kluce boli dynamicke a ten ransomware by privatny kluc poslal svojim tvorcom. Tam by uz koncili zarty a zacali samovrazdy ;)
Odpovedať Známka: 5.0 Hodnotiť:
 

RSA kľúč je jeden pevný (resp. zatiaľ vyzerá, že sú dva, pozrite prosím predchádzajúci článok) a kľúčovou vlastnosťou asymetrického šifrovania je práve to, že k šifrovaniu stačí verejný, z ktorého sa nedá zistiť privátny. V tom Gpcode je zahrnutý práve ten verejný a odšifrovať a získať hlavný RC4 je možné s tým privátnym, ktorý nikam posielať autori Gpcode nepotrebujú, posiela sa len zašifrovaný a odšifrovaný RC4 kľúč.

Tá použitá formulácia o RSA tak trochu predpokladala, že čitatelia čítali predchádzajúci článok. Pre tých, ktorí ho nečítali, sme formuláciu spresnili.
Odpovedať Známka: 5.0 Hodnotiť:
 

V poriadku ja som chcel iba poukazat ze tych privatny/verejnych klucov bude iba niekolko, co dava aku taku sancu ich uhadnut resp. zaplatit a ziskat ich priamo od tvorcov. Vacsi problem by bol keby si kazdy ransomware vytvoril novy verejny a privatny kluc (teda pre kazdy napadnuty pocitac zvlast), verejnym zasifroval a privatny poslal tvorcovi. To by bol ovela vacsi problem.
Odpovedať Známka: -3.3 Hodnotiť:
 

pointa je v tom, ze autori nebudu posielat privatny kluc, ale iba spomenuty RC4 kluc.. ktory je unikatny
Odpovedať Známka: 3.3 Hodnotiť:
 

Aha chapem ale aj tak je potom ten privatny kluc jediny, cize je tu sanca ze ho niekto prezradi. Uz vidim novu funkcionalitu antivirakov ako budu desifrovat zasifrovane subory po ransomware a kluce budu ziskavat z DB :DDDDDDDD
Odpovedať Známka: -3.3 Hodnotiť:
 

Ak som to spravne pochopil, ked si vsimnem ze z nicoho nic ide procak na 100% a disk sa toci ako divy, pomoze mi surovo vypnut comp, hodit disk do druheho PC a zazalohovat data z neho? Alebo tie subory po zasifrovani maze priebezne? Antivirus nepouzivam, uz dva roky som nic nechytil a prestalo ma bavit nechat si spomalovat system... ale o svoje data sa bojim :)
Odpovedať Známka: 6.0 Hodnotiť:
 

ked si urobis z toho disku zalohu tak v zalohe budes mat aj ten ransomware...
tak tomu sa povie poctivý záložník :D
Odpovedať Známka: 0.0 Hodnotiť:
 

zalohuj si to rovno teraz a ked ti pojde procak z nicoho nic na 100% a disky sa budu tocit ako divne mozes sa len smiat.. :D
Odpovedať Známka: 6.7 Hodnotiť:
 

Prepacte nie som expert,

ale kes si vo WIN mozem vypinat services, nemozem si vypnut servis na kryptovanie, ktory pouzivaju tito chlapci pri fyzickom sifrovani?
A mam pokoj :-)

Dik za nazor
Odpovedať Známka: 3.3 Hodnotiť:
 

oni pouzivaju kniznicu, nie servis. takze ti to nepomoze.
Odpovedať Známka: 5.0 Hodnotiť:
 

Takze ty chodis menit kola do kniznice a citat knihy do servisu ?
Odpovedať Známka: 0.0 Hodnotiť:
 

Tak zmazem kniznicu a hotovo nic sa kryptovat nebude...
Keby to islo tak lahko ;-)
Odpovedať Známka: 3.3 Hodnotiť:
 

Dufam, ze redakcia serveru DSL.sk si je vedoma pravnych povinnosti, ktore jej z tejto vety "poskytli serveru DSL.sk kompletnú použitú šifrovaciu schému" vyplyvaju - najma vzhladom na to, ze ide celkom jasne o trestny cin vydierania, a tiez vzhladom na to, ze ide o "tvorcov" (v mnoznom cisle) pravdepodobne aj zalozenie zlocineckej skupiny a dalsie mozne porusenia zakona - a teda, ze sa so ziskanymi materialmi a informaciami obratili na prislusne organy. Inak sa taktiez dopustaju porusenia zakona.


Vyzyvam redakciu, nech uvedie, ci so ziskanymi materialmi podnikla dalsie kroky.

Inak bude mozne uvedeny zaciatok clanku povazovat len za vystatovanie sa typu "len my sme ziskali" a prazdne slova.
Odpovedať Známka: 5.0 Hodnotiť:
 

A zabudol som - podla clanku ma DSL.sk kontakt na tvorcov. Tento by mala tiez dalej poskytnut prislusnym organom, inak sa dopusta spolupachatelstva.



(A mimochodom, nie je zaujimave, ze jediny kto schemu ziskal a zverejnil je nejaky maly server na Slovensku? Kto sa trochu zamysli, pochopi kam tym mierim...)
Odpovedať Známka: 5.0 Hodnotiť:
 

sifrovacie schemy nie su vobec tajne, prave naopak. su verejne!
Odpovedať Známka: 0.0 Hodnotiť:
 

Ano nad tym som sa uz aj ja zamyslal. Ved dsl.sk vobec neni svetovo rozsireny.
Odpovedať Známka: -2.0 Hodnotiť:
 

Vyuzili len zaklady z bezneho kryptovania. V podstate o sikovnost sa az tak nejedna, taketo nieco by mohol navrhnut hocikto kto pozna symetricke a asymetricke sifrovanie (vid http://www.dtca.sk/support/principles.php). Aj ked je to urcite ucinne. A vsak takto postihnuty clovek, je v rovnakom probleme aj ked mu vyhori disk, pokial nema par tisic na firmu ktora mu to obnovi. Poukazuje to iba na potreby zalohovania, ktore v dnesnej dobe su financne zanedbatelne. (Ak clovek nezalohuje par TB filmov ktore si nasiel na nete :)
Odpovedať Známka: 3.3 Hodnotiť:
 

Mňa by zaujímalo či naše antiviráky vedia zachytiť toto svinstvo?
Ako sa vlastne šíri? Kde sa to dá nachytať? Cez email alebo návštevou infikovanej stránky?
Odpovedať Známka: 3.3 Hodnotiť:
 

No sirenie u tychto veci je normalne ako pri kazdom inom viruse, cize na pociatku je nieco co sa da zneuzit, ako to virusy robia, akurat je takyto virus rozsireny o tuto funkcionalitu + vydieranie, ktore pri beznych virusoch ktore len zneprijemnuju zivot je toto ine.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár