Лаборатория Касперского на днях арендовала у нас (МСЦ РАН) основной кластер: 1148 CPU, узлов: 574 (2xPowerPC 970 2.2 GHz 4 GB RAM)
сеть: Myrinet/2xGigabit Ethernet. Сюда же прибыл целый полк криптографов.

www.viruslist.com/ru/alerts?discuss=188261471

че думаете ?

-----
in search of sunrise

| Сообщение посчитали полезным:

В Российской Академии Наук что ли аренодовали?

| Сообщение посчитали полезным:

ага, самое интересное как можно было за пару дней RSA 660 bit разложить

сдается касперский сам эти вири и клепает

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom, я не сомневаюсь - выгода ёмоё... А ЮЗвери потом мучаются
Касперчег конечно приколист

| Сообщение посчитали полезным:

bloom, скока они заплатили если не секрет??

| Сообщение посчитали полезным:

d1v0x
Прочитай внимательно, это сказка...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Давайте немного поразмышляем логически.
Итак, мы имеем несколько версий трояна Gpcode, в которых постепенно увеличивалась длина RSA ключа. В связи с этим возникает вопрос - почему автор использовал изначально только короткие ключи, и наращивает их длину очень постепенно? Ведь очень просто например применить CryptoApi и сделать шифрование например с 4096 битным ключем (который заведомо никакой касперский не сломает). Это первый странный момент в этой истории.
Второй странный момент - почему касперский сломал 660 битный ключ за пару дней? В версию с кластером на 1148 CPU как-то не вериться, рассмотрим более реалистичные варианты.
1) Нашли автора трояна и засунули паяльник в жопу. (маловероятно, т.к. тогда они бы кричали о поимке очередного террориста)
2) Расшифровывающая файлы программа, которую высылает за деньги автор трояна, содержит в себе секретный ключ. Тогда касперский мог просто купить ее у автора и вытащить ключ оттуда. (этот вариант мне кажется весьма правдоподобным)
3) Вирус написали в лаборатории касперского. (эта версия обьясняет в том числе и первую странность).

Короче говоря, выводы делайте сами. А мне бы хотелось сделать несколько рекомендаций по улучшению Gpcode (надеюсь автор трояна наткнеться на этот топик).

Необходимо использовать ключи не короче 4096 бит. (делательно через CryptoApi).
Секретный ключ не должен высылаться пользователю купившему расшифровщик. Для этого предлагаю при первом запуске трояна генерировать симмитричный сессионный ключ (не менее 128 бит), и шифровать файлы им. Сам сессионный ключ будет зашифровываться через RSA. Автор делает расшифровщик под каждый конкретный комп, используя для этого расшифрованый сессионный ключ клиента, и не раскрывая RSA. Если следовать этим рекомендациям, то никакай касперский никогда не сможет написать декриптор.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

rat.net.ru/antideza/max=100
это почитайте
узнаете много интересного про каспера

| Сообщение посчитали полезным:

Ms-Rem пишет:
Необходимо использовать ключи не короче 4096 бит. (делательно через CryptoApi).
Секретный ключ не должен высылаться пользователю купившему расшифровщик. Для этого предлагаю при первом запуске трояна генерировать симмитричный сессионный ключ (не менее 128 бит), и шифровать файлы им. Сам сессионный ключ будет зашифровываться через RSA. Автор делает расшифровщик под каждый конкретный комп, используя для этого расшифрованый сессионный ключ клиента, и не раскрывая RSA. Если следовать этим рекомендациям, то никакай касперский никогда не сможет написать декриптор.

А нахрена такой фигней страдать вообще?

Неужели нет ничего более интересного, чем пакостить мелким юзерам?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS= пишет:
А нахрена такой фигней страдать вообще?
Согласен, это нахрен не надо. Но если пакостить, то это надо делать с умом.
Имхо вирус написан в лаборатории касперского. Они сначала делали малую длину ключа, для того чтобы заставить конкурентов потратить время на его вычисление, ну а теперь сделали ключик побольше, и говорят что они такие крутые, т.к. конкуретны его пока не смогли вскрыть. Имхо эта версия выглядит весьма правдоподобно, так как она обьясняет все странности.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

управление К разбереться... тока ктонибуть из потерпевших заявление подаст...
Статьи 159,163,272,273,274... по совокупности выходит хорошо, особенно если доказать все удасться... так что аффтар одумайся! лучше вступай и компелируй!
ADD
Кстате если поймает какойнибуть из столичных ментовских босов на свой комп заразу... то вообще не позавидую аффтору (аффторам). Тогда лучше сразу пить йад и стрелять себя в мозг однавременно...

| Сообщение посчитали полезным:

Red Bar0n
Полностью согласен. Автору не удасться получить деньги и остаться анонимным.
Если бы этот вирус писался для вымогательства, то там бы сразу применили нормальное крипто, да и мыло на mail.ru это тоже несерьезно (закроют как нефиг делать). Этот вирус писался скорее всего для рекламы антивируса каспермского. В этом случае, автор не получает денег от пострадавших, а значит никакие менты никогда не смогут ничего раскопать.
Короче говоря - касперский теперь для пиара пишет вирусы. Жаль конечно, что нельзя это доказать.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Если бы этот вирус писался для вымогательства
Тогда бы аффтара поймали ооочень быстро...

| Сообщение посчитали полезным:

Valenok Pirojkov пишет:
это почитайте
узнаете много интересного про каспера
Полный бред.От первого до последнего слова. Желтая пресса

| Сообщение посчитали полезным:

Ms-Rem пишет:
Короче говоря - касперский теперь для пиара пишет вирусы. Жаль конечно, что нельзя это доказать
Потому что его тупой антивирь никому не нужен.Все поняли,что единственное предназначение KAV
перегрузка системы и её нестабильная работа. А чтобы вирус реально словить в сети,надо быть
конченным муд..ком...И все статьи о новых вирусах распростаняют именно конторы типа Каспера...
Вообщем,развод для лохов

| Сообщение посчитали полезным:

Mixan
чувак тебя еще не достало поносить все подряд
во всех топах оффтопа срешь

| Сообщение посчитали полезным:

Расшифровка файлов, зараженных Virus.Win32.Gpcode
Некоторое время назад появился новый вирус Virus.Win32.Gpcode (и его модификации), вредоносным проявлением которого является шифрование файлов. Причем каждый раз файлы шифруются разными способами.

Антивирусные продукты Лаборатории Касперского способны расшифровывать такие файлы с помощью антивирусных баз, выпущенных в 17:00 (GMT +3) 02 июня 2006 года. Если Антивирус Касперского определил в каком-либо из файлов вирус Virus.Win32.Gpcode.ae , выберите функцию "лечить" для расшифровки файла.

Если Антивирус Касперcкого в каком-либо файле определил вирус Virus.Win32.Gpcode любой модификации и не может его вылечить (расшифровать), пришлите такой файл в письме на адрес newvirus@kaspersky.com с темой Virus.Win32.Gpcode, и через некоторое время (1-2 часа после получения письма) ключ для расшифровки этого файла будет добавлен в антивирусные базы. А если у Вас есть оригинальная (незашифрованная) копия файла, в котором обнаружен Virus.Win32.Gpcode, то пришлите ее тоже. Это поможет нашим вирусным аналитикам расшифровать зараженный файл.

Правда про вариант .ag ничего нет, кроме утверждения что за 1-2 часа для любой модификации ....

| Сообщение посчитали полезным:

дохтор голова, напишите уже что нибуть по теме? интересно же

| Сообщение посчитали полезным:

а он отвечал на ренг.ру

DrGolova пишет:
Ага, при десятках миллионов оборота, типа "30 вебманей-то не лишние"

-----
in search of sunrise

| Сообщение посчитали полезным: