— Гость (11/12/2004 18:27)   
Далее пришло письмо с ответом...

Ваше сообщение получено.
Необходимая иноформация выложена
на http://crz.at.tut.by

— SATtva (11/12/2004 22:46)   
О чём вообще речь? Ничего не понял. Может меня кто-нибудь просвятит?

— Гость (12/12/2004 01:41)   
Доброго времени суток.
В windows XP выводится сообщение которое стартует автораном реестра, в котором следующий текст.
"некоторые файлы на вашем компьютере закодированы CRZ – способом
для раскодировки обратиться на ztc567@mail.ru и на ztc567@yahoo.com"
И кнопка Ок.
Пытаюсь просмотреть фото(jpg), текстовый файл(txt), doc, mbd, ни чего не выходит. выводится ошибка – файл поврежден.
Открываю файл по F3 в файл менеджере и вижу, что в заглавии файла такая вот строчка.
" PGPcoder 88.77.94 "
остальное содержимое файла аски символы, не дающие ни какой информации.
Все файлы просто перекодированы...
Вот и все.
Заранее спасибо за ответ...

— SATtva (12/12/2004 12:40)   
Когда это появилось: после установки какой-то программы, или после получения какого-то письма, или...? Каких файлов касается: определённых типов, или лежащих в определённом каталоге, или всех, кроме системных? Откуда взялись эти файлы? Что говорит антивирус (со свежими АВ-базами) после полной проверки машины? Пробовали ли обращаться по приведённым адресам? Пробовали ли искать в Гугле по строке "PGPcoder 88.77.94" и производным? И последнее: мы-то какое имеем ко всему этому отношение? :)

— Гость (14/12/2004 00:10)   
Возможно как-то узнали пароли, либо автолоадер на страничке, может с почтой, я не в курсе. Думаю кодировшик самоуничтожился, так как остался просто файлик, стартующийся реестром – сообщение. "Ваши файлы..." и т.д. Все файлы с расширениями *.jpg *.doc *.mdb *.txt *.html зашифрованы. Антивирус нашел Даунлоадер и все, но не думаю, что это он... Веду переписку. Ссылку на http://crz.at.tut.by Я вам уже кидал. Это было в первом ответе на письмо. Второй ответ был такой. Когда я написал, что не буду платить 1000, а только 500 – пришло письмо.
Здравствуйте! Вам виднее – пусть будет 500 рублей.
Реквизиты для банковского перевода
Получатель: ООО "Алкор-М", ИНН 7708139852
КПП: 770801001
Банк: МЕЩАНСКОЕ ОТДЕЛЕНИЕ 7811 СБЕРБАНКА РФ г. Москва:
Р. счет: 40702810538090108151
Кор. счет: 30101810400000000225
БИК: 044525225
Назначение платежа: Для участника No. 4100122309452 системы Яндекс. Деньги.
Авансовый платеж. Без НДС

Последнее. Вы этим занимаетесь, а следвательно больше об этом знаете. У кого же еще спрашивать об этой программе, как не у Вас??? ))) С кем еще по – этому поводу советоваться... ))) :-)

— SATtva (14/12/2004 00:36)   
moris, я бы советовал обращаться не к нам, а в правоохранительные органы. Во-первых, это их прямая обязанность разбираться с подобными фактами мошенничества. Во-вторых, мы Вам помочь всё равно ничем не сможем. Лично я о подобной ерунде слышу впервые. Если эти "доброжелатели" и использовали в своём ПО компоненты ядра PGP, то ничего незаконного тут нет — исходный код ранних версий программы давно находится в public domain, и любой олух Царя небесного может пихать его, куда ему вздумается. Незаконен сам факт нарушения целостности хранящейся в ПК информации и предложение покупки решения данной проблемы. Если правоохранители найдут в действиях владельцев странички и разработчиков этого кодировщика состав предступления, обнаружить их не составит труда хоть по тем же реквизитам в Яндекс. Деньгах — эта система далеко не анонимная (чем лично мне и нравится).

Понравились ответы на http://crz.at.tut.by/faq.htm . :lol: Отчасти они правы, хотя лучше самому обращать внимание на свою безопасность, чем ждать, пока твоё внимание на неё обратят такие товарищи. Но вот то, что, дескать, мы клепаем вредоносное ПО, а ответственность за это пусть несут те, кто его ничего не подозревающим юзерам подкладывает, — явная глупость с их стороны, ибо уголовную ответственность за изготовление вредоносных программ для ЭВМ пока никто не отменял. Как я писал выше, обращайтесь к правоохранителям. А именно в Управление "К" МВД РФ, если Вы живёте в России.

— Гость (14/12/2004 08:49)   
Имело место быть несанкционированная модификация частной информации (читать как порча частной собственности) – это одна статья; вымогательство – другая статья; написание подобных червей (как впрочем любых других) – статья см. выше.
Автор данного проекта естественно здесь непричем!
Спасение утопающих – ...
В данном конкретном случае мы имеем "утопленника" в чистом виде. И органы тут не помогут – что-то не вериться мне в добрых "ХАКЕРОВ" в погонах, не подросли они чтоб мелочевкой заниматься, а жаль.

— Гость (14/12/2004 08:54)   
moris, не опускай руки. В органы обратись непременно. Если мы им не поможем то кто? Може и они нам помогать начнут :-)
Напиши чем история закончится! Будет другим наука.

— unknown (14/12/2004 14:47)   
В связи с этой историей вспомнилась инструкция, о том как обращаться в ФБР по поводу компьютерных преступлений. Читал давно, но запомнил что там столько мороки, что лучше на это дело забить. И компы жертвы там изымают и опечатывают и долго не отдают, и нужно кучу всяких бумаг заполнять и распоряжений выполнять, и предоставить агентам доступ, чтобы они поставили в сети свои "ловушки для хакеров".

Вывод был такой, что если Вы не крупная фирма, терпящая грандиозные убытки, то нету смысла связываться с этой волокитой. Не знаю как в России с этим делом.

— SATtva (14/12/2004 17:01)   
MishGun в общем-то прав: после единичного обращения никто не побежит этих злобных хацкеров ловить, если только гражданин moris не поимел от их действий прямой финансовый ущерб. Но любое обращение заставляет обратить на себя внимание, а если число таких обращений превысит некоторую критическую массу, тогда, конечно, механизм придёт в действие.

Ну а комп, конечно, изымут — вещественное доказательство всё-таки. :)

— Kent (14/12/2004 22:38)   
Да, хорошие новости:
RE: Вирус, основанный на PGP Похоже специалисты лаборатории Касперского расшифровали вирус! Цитата из письма тех. поддержки: "Расшифровка файлов будет доступна в ближайшем обновлении. Все зашифрованные файлы будут детектироваться как Virus.Win32.Gpcode.b и успешно расшифровываться в процессе лечения." Заранее благодарен им ... жду обновления баз.
RE: Вирус, основанный на PGP Обновление антивирусных баз уже выложили на сервер, лечение проходит весьма успешно. Ребята, вы супер...

— SATtva (14/12/2004 22:51)   
Хорошая Касперскому реклама. Всё равно больше доверяю Symantec. :)

— Гость (17/12/2004 01:24)   
Symantec мне всвсем не понравился. AVP гораздо лучше работает, мне кажется. По крайней мере он находит вирусы, те, что не мог найти Symantec. А это уже плюс. А вас я отнюдь, ни в чем не обвиняю. К вам претензий нет. Сразу такой крах на фирме, вот и обращался за помощью ко всем... А с 'bv кодом мы сами разобрались...))) Вымогателям послали пламенный привет на их требования))) Все закончилось хорошо... :-) Горе-хакеры. Мне их весьма жаль, оч. глупо они работают...

— SATtva (17/12/2004 01:33)   
Успехов в работе, moris! Предохраняйтесь и будьте внимательны со случайными связями. ;) А Симантек, видимо, ничего не знает, потому что зараза наша местная от наших же умельцев. Вероятно, достаточно широкого распространения не получила.

— Гость (22/12/2004 00:38)   
Ок. Пасиб за пожелания. Вам того же. )))

— Гость (24/06/2005 11:28)   
Не подскажите как удалось побороть этот вирус?

— SATtva (24/06/2005 13:15)   
Думаю, с этим вопросом Вам лучше обратиться в Лабораторию Касперского.

— Гость (24/06/2005 13:23)   
Хотябы файлы расшифровать

— SATtva (24/06/2005 14:34)   
Тогда ставьте Kaspersky Antivirus со свежими базами, он эту заразу умеет лечить.

— SATtva (23/05/2007 15:58)   
Фрагмент о нашем старом знакомом из последней статьи^[link2] на Компьютерре:

Первая версия Gpcode появилась еще в конце 2004 года. Она шифровала данные алгоритмом собственной разработки, хотя и включала в названия файлов "PGPcoder", что заставляло предположить использование более профессиональных криптосредств. Так что поначалу проблем со взломом шифра не возникло. Однако постепенно в интернете появлялись все более и более изощренные модификации программы, и наконец, летом прошлого года в "Лаборатории Касперского" столкнулись с версией Gpcode.ag, которая шифровала данные с помощью алгоритма RSA с ключом длиной 660 бит.

Но каким-то образом специалисты все же взломали и его. По слухам, ключ факторизовали двое суток на арендованном у РАН кластере из 574 узлов с процессорами 2xPowerPC 970 2,2 ГГц и 4 Гб оперативной памяти.

И далее:

Сотрудники "Лаборатории Касперского" на RSA Conference 2007 заявили, что взломали ключ Gpcode за десять минут, потому что хакер "не дочитал криптографический учебник до конца", однако признались, что последняя победа досталась им с большим трудом, и не факт, что уже в обозримом будущем удастся решить проблему с более совершенными экземплярами ransomware в пределах разумного времени.

— unknown (23/05/2007 16:49, исправлен 23/05/2007 17:15)   
По другим слухам, на подставную жертву могли выкупить ключ за $$$$, по и с гордостью включили в базы. Но не будем распространять непроверенные слухи.

— ghtr (24/05/2007 10:42)   
По слухам ходящим среди вирмейкеров, серия gpcode была заказана самой лабороторией Касперского.
Вас , е настораживает тот факт, что длина ключа в нем постепенно росла с 64 до 660 бит?
Автору то ничего не стоило сразу сделать хоть 2048 бит, просто поменяв пару строк в коде. Выводы кому это выгодно делайте сами.

— SATtva (24/05/2007 10:49)   
Если следовать этой логике, то вирусы и трояны выпускают сами антивирусные компании, а спам рассылают, соответственно, антиспамовые. Для поддержания доходности бизнеса, так сказать. Не лишено смысла, но слишком уж конспирологией попахивает.

— ghtr (24/05/2007 14:39)   
Не надо утрировать. Я немного знаком с обстановкой в vx сфере, и скажу по этому поводу следующее:

Антиспамовые компании спам не рассылают (по крайней мере, мне не попадалось ни одного сколько-либо оправданого удтверждения этого, и даже слухов таких нет).
Антивирусные конторы находятся в несколько ином положении. На данный момент в сфере vx мы имеем кучу вирусни, которая пишется полуграмотными студентами, и лечиться любым антивирусом. А также есть целая куча антивирусов, которые одинаково хороши (или лучше сказать одинаково плохи). Они все работают практически одинаково, и поэтому в этой сфере между аверскими конторами ведеться неслабая конкурентная борьба. В этой борьбе весьма хорошим аргументом будет являться вирус, который лечиться антивирусом рекламируемой конторы, но не лечиться другими.
Мне достоверно известен лишь один случай, когда вирус писался с целью пиара антивируса, на деньги антивирусной конторы. Этот вирус называется Gromozon Rootkit, а заказан был он для рекламы анивируса Prevx. Исследование этого руткита и разоблачения prevx вы можете найти на sysinternals.com.
Помимо этого достоверного случая, извесна еще парочка слухов, среди которых слух о спонсировании написания gpcode касперским, является самым реалистичным.

— SATtva (24/05/2007 19:14)   
Оспаривать Ваше мнение не стану, тем более, что моё собственное весьма неоднозначно (как относительно самой концепции современного антивирусного софта, так и бизнеса, построенного вокруг). В любом случае, информация интересная, спасибо.

— Гость (25/05/2007 14:45)   

слишком уж конспирологией попахивает

Мне наконец-то стало понятно, что такое конспирология – это просто приверженность мнению, что ещё "кто-то, кое-где у нас порой честно жить не хочет" :-)

— Foo (10/06/2008 18:35)   
Новая версия. ЛК подняла шумиху^[link3], а никакой информации не даёт, действительно похоже на нечестный пиар. Почему бы так сильно не волноваться по поводу вирусов, которые просто удаляют все данные, они ведь по сути даже злее?)

Ничего не говорят.

Please, dont ask about FULL crypto-scheme! It will be send only for experts via email.

При этом просят помощи^[link4] в какой-то нелепой форме (выложили открытые ключи и говорят, что

Этой информации достаточно для того, чтобы специалисты смогли приступить к факторизации ключа.

, называют странные цифры вроде года перебора на 15кк компьютеров.)

Как я понял, каждый файл зашифровывается при помощи RC4 со своим ключом, потом список ключей и соответствующих путей к файлам также шифруется RC4 и хранится на компьютере жертвы. Ключ к списку зашифровывается RSA-1024, его и нужно отправить автору для получения декриптора. Благодаря такой схеме купленный для одной машины дешифратор не будет работать на другой.

Распространяется (по крайней мере, это один из путей) через мыльный спам с использованием СИ. После выполнения своей миссии самоудаляется. Сэмплов в паблике вроде не видно. Работает в Win :)

Прокомментируйте, пожалуйста.

— SATtva (10/06/2008 18:58)   
А что тут комментировать? Аффтару зачот, делает успехи. Касперский на этом наживается. По сути никаких отличий от обычного вируса нет. Как обычно, главная рекомендация: делайте бэкапы и бросайте Windows.

— Гость (10/06/2008 19:19)   
Какое-то слегка дилетантское заявление у касперского. Если бы RSA можно было быстро факторизовать это поставило бы крест на столь много чём, что подобный вирус – это песчинка по сравнению с морем. Никаких способов взлома RSA (AFAIK) окромя перебора неауке не известно. Единственное, на что могут надеяться антивирусники, что криптографы и хацкеры обнаружат ошибки в реализации RSA в коде злоумышленника – тогда, при определённых обстоятельствах, ключ можно будет подобрать существенно быстрее чем перебором. Скорее с их стороны целесообразнее не отличать этот случай от тех, когда злоумышленник просто тёр бы данные шредером. Я понимаю, что у них работа такая, у касперов, но как бы даже если кому-то очень захочется, и даже если очень-очень много денег, то всё равно против физики, математики и законов природы попереть против не получится, ну хоть ты тресни не получится. Пусть им АНБ свои мощности предоставит: в книжке Киви Берда писалось то они много лет назад заныкали мощный суперкомпьютер и засекретили его существование. Возможно. тот спообен факторизовать :) (Правда. могут поступить как Черчиль: стратегически ванее не дать всем нать что у них есть такая "машинка". даже если это и так :-D )

— SATtva (10/06/2008 21:02)   

Единственное, на что могут надеяться антивирусники, что криптографы и хацкеры обнаружат ошибки в реализации RSA в коде злоумышленника

Так было с предыдущей версией вируса, которая начинала эту тему. С тех пор злоумышленник, видимо, почитал умных книжек и больше таких глупостей не допускает.

— Гость (10/06/2008 21:50)   
В этот раз вообще ничего из криптопримитивов самостоятельно не реализовано. Все отдано в надежные руки MS CryptoAPI. Из интересного: отчего-то в вирусе разные открытые ключи для работы в 2К и ХР, к чему бы?

— Paran0ik (10/06/2008 23:12)   
09.06.2008

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, объявляет о запуске международной инициативы «Stop Gpcode».

Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus. Win32. Gpcode.ak – последней версии опасного вируса-шантажиста Gpcode.

Сигнатура вируса Virus. Win32. Gpcode.ak была добавлена в антивирусные базы «Лаборатории Касперского» 4 июня 2008 года.

Различные версии вируса Gpcode шифруют пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с различной длиной ключа. После этого пользователь зараженного компьютера получает автоматическое сообщение о шифровании своих файлов и требование выкупа за получение программы-дешифратора.

Ранее «Лаборатории Касперского» уже приходилось сталкиваться с другими версиями вируса Gpcode, но экспертам компании во всех случаях удавалось получить секретный ключ (достигавший длины в 660 бит) путем детального криптографического анализа имеющихся данных.

Однако в новой версии данного вируса, получившей название Virus. Win32. Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.

«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.

Для координации действий между участниками инициативы создан специальный форум «Stop Gpcode».

Kaspersky

— Гость (10/06/2008 23:39)   
Шумиха какая-то, причём результат уже ясен. Неважно где ошибся и ошибся ли автор, но через недельку-месяц кав скажет что "аффтар был лох".

Аффтар давно уже в застенках гестапы. Потому и такие громкие международные... На ихнем форуме кто-то из посетителей Шнайера хочет привлечь... пока лишь к криптоанализу.

Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.

Нет других задач. Ну а если бы вирус файлы занулял, тогда надо полагать стоящая задача переметнулась в сторону физики. Чуствуете как антивирусная индустрия, двигает науку?

— Гость (11/06/2008 04:03)   

Аффтар давно уже в застенках гестапы.

Собственные осведомлённые источники?
ps: а если бы автор выбрал не 1024 ключ а 4096, что тогда? :) Народ никак не может оознать, что если бы все вирусы писались профессионалами то никакие антивирусные компании ничего сделать не смогли бы. Они банально бы не успевали дизассемблировать код.

— Гость (11/06/2008 07:17)   
На самом деле аффтара никогда не поймают, потому что ловить некого. Если задаться вопросом "кому выгодно", то становиться ясно что вирус написан касперским, или по заказу касперского.
Давайте вспомним историю gpcode. Приведу несколько цитат:

А вот шантажист не угомонился: в апреле появилась новая версия вредоносной программы. Автор Gpcode явно «наращивал мощности» — для шифрования в ней также частично использовался алгоритм RSA, но длина ключа, в отличие от предыдущего варианта (56 бит), составляла уже 67 бит.

А почему не сразу 4096 бит? Вам не кажеться это странным?

В Gpcode.ae длина ключа составляла 260 бит, в Gpcode.af — 330. Задача была достаточно сложной. Расшифровка различных ключей, используемых в модификациях Gpcode.af (330 бит), потребовала применения новейших технологий и 10 часов напряженной работы экспертов «Лаборатории Касперского».

Напряженная работа "экспертов" – это наверно запуск программы msieve и распитие пива пока идет факторизация. А может быть напряженная работа – это доставание готового ключа из исходников вируса?

И тут появился новый вариант Gpcode — ag — с длиной ключа в 660 бит.

Как эксперты компании решили эту задачу? В ответ на этот вопрос они загадочно улыбаются...

И мы улыбнемся вместе с ними, ведь нам понятно кто на самом деле стоит за этим вирусом.

— Гость (11/06/2008 07:51)   
Ржунимагу :-D
Да, чёто каспер как-то совсем обламерился с пиаром..

— Secret (13/06/2008 21:34)   
Собственно хотелось бы услышать мысли уважаемых участников проекта.
Эпидемия пока не масштабная, но имеет все предпосылки для этого. Не кажется ли Вам что это начало конца платформы Windows и представлений об IT-безопасности в целом?

— sentaus (13/06/2008 22:44, исправлен 13/06/2008 22:44)   
Пардон, а что в этом нового вирусе нового по сравнению с вирусами, уничтожающими данные, помимо наличия надежды, что файлы якобы можно восстановить?

— Secret (13/06/2008 23:04)   
Гы! Ну смысл прост, GPCode шифрует не копируя файлы, recovery пока еще никому не удалось – это раз. И два – это то, что в любой момент можно ожидать 4096 bit в связке с любой формой разнозчика/ов, причем не "от создателей GPcode", а от куулхацкеров воодушевленных успехом GPCode. И что самое главное "последователи" могут оказаться бескорыстными, а это в разы усложняет локализацию угрозы, практически делая её невозможной.

— Гость (13/06/2008 23:08)   
-Папа значит ты будешь меньше пить?
-Нет дети, это значит вы будете меньше есть!
© анекдот

Зачем простому юзеру иметь у себя библиотеки с реализованным шифровальными средствами? Поначалу будет стихийное: скачай твик предотврати вирус. Глядишь вскоре и винда в массе своих дистров оскудеет на них. Если конечно это всё не пиар продукт антивирусной компании (не обязательно писать самим вирус, чтобы греться в лучах его славы, это к вопросу о конспирологии)

Ослик захотел https, обойдется!

Да кстати темка на форуме уже про этот вирус есть, почти с самого начала его (предков вируса) существования.

— sentaus (13/06/2008 23:12)   

И что самое главное "последователи" могут оказаться бескорыстными

Ну мы это всё уже видели и 15, и 20 лет назад.

— Гость (14/06/2008 04:42)   

Не кажется ли Вам что это начало конца платформы Windows и представлений об IT-безопасности в целом?

Это кажется жутким баяном, такое мы проходили еще в DOS. И проблема эта никак не связана с Windows, ведь вирус сам по себе не появляется, чтобы он начал работать его надо запустить. Поэтому проблема скорее в прослойке между стулом и клавиатурой.

— unknown (15/06/2008 00:24)   

Это кажется жутким баяном, такое мы проходили еще в DOS.

точно, вирусы шифрующие винчестер и стирающие ключ были изввестны в 80-е годы. Редкими они тогда были из-за низкого быстродействия комьютеров, которое не позволяло применить стойкое крипто для шифрования (да и спецов по работе со стойким крипто почти не было).
Ну ксорили элементарно, но это не для вымогательства (тогда не был развит Интернет), а для быстрого "уничтожения" данных в час "X".

При простом уничтожении данных на медленном носителе можно было заметить неладное и выключить комп.

— SATtva (15/06/2008 23:02)   
[moderator]
Тема "Gpcode. Ваши мысли?" присоединена к данной дискуссии.
[/moderator]

— Гого (16/06/2008 04:14)   
интересно какая примерно отдача от этого биза. Плохо что в паблике нет ничего подобного, пока это не приобрело массовый характер заниматься таким делом достаточно опасно.. будем ждать

— Гого (16/06/2008 04:39)   

В настоящее время злоумышленник, как правило, генерирует пару крипто-ключей, причем открытый находится у созданного им трояна, а закрытый у преступника. После заражения компьютера жертвы, автор требует денег за расшифровку и, получив выкуп, отсылает закрытый ключ. Слабое место этого подхода заключается в том, что потерпевшему достаточно просто выложить в общий доступ информацию о закрытом ключе, и злоумышленнику останется надеяться, что новым жертвам эти данные не попадутся на глаза. Со временем же, если верить прогнозам, на смену этой модели придет более изощренная – с использованием хакерами ассиметричного шифрования. В этом случае злоумышленник также будет создавать пару ключей, однако вирус, попав на компьютер жертвы, сгенерирует еще один тайный ключ, которым уже и зашифрует данные.

Не совсем понял как это работает, и разве когда пара ключей (откр-закр) это уже не есть ассиметричное шифрование??

— SATtva (16/06/2008 08:39)   
Автор процитированных строк похоже не понимал, о чём пишет. Беда с этими журналистами... Везде, где речь идёт об асимметричном шифровании, подразумевается гибридная схема.

Интересно, а господа касперские задумывались, что вся их шумиха со взломом RSA-1024 пойдёт прахом, стоит только злоумышленнику в следующем релизе вируса сменить ключ?

— sentaus (16/06/2008 12:03)   
А тем временем, у Касперского отжигают напалмом:
http://forum.kaspersky.com/lof.....ndex.php/t71652.html^[link5]


Брюс Шнайер по этому поводу высказался довольно просто, но точно: "What are they smoking at Kaspersky?"
http://www.schneier.com/blog/a...../kaspersky_labs.html^[link6]

— Гость (16/06/2008 13:41)   

Пардон, а что в этом нового вирусе нового по сравнению с вирусами, уничтожающими данные, помимо наличия надежды, что файлы якобы можно восстановить?

Гы! Ну смысл прост, GPCode шифрует не копируя файлы, recovery пока еще никому не удалось – это раз.

Хорошо, пусть будет "по сравнению с вирусами, уничтожающими данные шреддером". Что дальше-то?
зы: имхо, пиар на совершенно пустом месте.

— Гость (17/06/2008 00:55)   
Имхо, они таким пиаром накликают себе беду, сейчас какой-нибудь маломальски шарящий в ассиметрике прочтёт всю эту байду, добавит к своему горе трояну модуль криптующий на элептических кривых(да ещё и со своими крипто функциями) размер ключа в 1024, и тогда хоть за-обьеденяйтесь, только внуки смогут .doc-и прочитать)))

— Гость (17/06/2008 01:14)   
http://forum.kasperskyclub.ru/.....iew=findpost&p=49263^[link7]

Автор цитаты E. K. (Команда ЛК)

То, что тут же в кустах вокруг появляются всякие тролли – вролне очевидная вещь. Поскольку сами ничего сделать или предложить не в состоянии – так хоть с умным видом дать комментарий. Ну или хотя бы тявкнуть, если на комментарий словарного запаса не хватает. И был весьма удивлён увидеть в рядах троллей Шнайдера и Бончева...

С учетом довольно насмешливого комментария Шнайера в своём блоге, интересно про какого-то такого Шнайдера пишет Е. К.

чую шоу только начинается, занимайте лучшие места.

— SATtva (17/06/2008 11:54)   
/me запасся попкорном.

— SATtva (18/06/2008 21:02)   
Не прошло и полгода:^[link8]

Пострадавшим же от вредоносной программы пользователям компания "Лаборатория Касперского" советует попытаться вернуть утерянные данные при помощи утилиты для восстановления удаленных файлов. Дело в том, что в процессе работы Gpcode сначала создает на накопителе ПК новый файл, в который записывает зашифрованные данные исходного документа, и только после этого удаляет оригинал. Поэтому существует возможность восстановления утерянной информации, если данные на диске не были сильно изменены.

И стоило весь этот огород городить с самого начала?

— Гость (19/06/2008 16:41)   
Так весело ведь :-)

Freeze the ram chips and load them into an analysis machine for copying. You can freeze the ram chips and preserve the information for up to 10 minutes depending on a few factors, such as make model, type ect.

Жидкий азот!^[link9]

— Евгений_Касперский (19/06/2008 17:02)   
I did it for the lulz

— Гость (03/12/2008 21:53)   
Ну вот Ъ. Международный раздел по "остановке GPCode", на форумах Касперского просто исчез. Они настолько скромные что после поимки автора, по тихому закрыли публичный форум? Тогда значит по тихому и встроили расшифровальщик в свой продукт, есть у кого касперский и последствия вируса и желание подтвердить?

Или они в ходе поимки нерасчитали температуру и тайна ключа будет раскрыта теперь только на страшном суде? Или может обнаруженный автор настолько не вписался в их мифологию что они замяли и следствие по его делу? Ведь была статья где они описывали общие приметы преступника, или это был разогрев остывшего блюда? Похоже они не расчитали срок и теперь все это очень сильно попахивало.
Не прошло и полгода...

ЛК: Слив засчитан?

— Гость (03/12/2008 22:51)   
Нет, вроде внезапно заметили, что никакого стойкого шифрования там нет (автор вируса просто всех так напугал) и всё расшифровали.

— Гость (03/12/2008 23:07)   

и всё расшифровали.

Вы не путайте gpcode.ak модификации с другими.

Интересно что именно такое спутывание в сознании рунетчиков и можно было ожидать. Может это не спроста?

— Гость (11/01/2009 12:09)   
Слайды посвященные криптоанализу GpCode.k
http://rump2008.cr.yp.to/6b53f.....2fd7cb80e8714a90.pdf^[link10]
Вот как у них у криптографов: все по солидному, плюс слайды для популярного усвоения материала.
Автор трояна ошибся дважды, во первых выбрав RC4, и немного при реализации зашифрования отдельных файлов во вторых (как специально старался). Однако даже это не помогает в общем случае, криптоанализ перемещается на уровень выковыривания индивидуального ключа для каждой системы с негарантированным результатом.

— manhunt_78 (12/03/2009 18:19)   
При открытии любой страницы в нэте появляется заставка с порно сайта и висвечивается надпись " Russia Ukraine (other) Ukraine (Life) Kazakhstan Kirgizia Tadjikistan Germany HMN 2945355

5014

1171

9915

2507

1171

80888
что делать подскажите?

— SATtva (12/03/2009 18:35)   
Проверить диск антивирусом. Желательно с другой системы.

— Гость (02/12/2010 16:50)   
Иногда они возвращаются, всегда.
Как сообщает «Лаборатории Касперского», 29 ноября ими обнаружена и детектирована новая разновидность Trojan-Ransom.Win32.GpCode.ax. В настоящее время эксперты компании работают над способами восстановления зашифрованных данных. При этом автор троянца освоил метод затирания без возможности восстановления: новая модификация не удаляет оригинальные файлы, а записывает в них шифртекст.

— Гость (14/02/2011 20:46)   
При правильно имплементированной криптографии остается только [s]повеситься[/s]делать бекапы, обращаться в органы в надежде, что их отследят по деньгам.

— Гость (27/12/2013 04:44)   
Словарь в тему этого топика и CryptoLocker^[link11]'а:

1. Рансомварь^[link12] [«While initially popular in Russia» символизирует].
2. Криптовирология^[link13].
3. Клептография^[link14].

И всё это повязано с криптографией. :-)

— Гость (28/03/2014 05:02)   
SATtva как вы изменились^[link15]

в Яндекс. Деньгах – эта система далеко не анонимная (чем лично мне и нравится)

А то что в Управлении К работают подонки многие люди знали еще в начале нулевых и про Упр Р

— SATtva (28/03/2014 08:31)   

SATtva как вы изменились

Допустим. И?

А то что в Управлении К работают подонки многие люди знали еще в начале нулевых и про Упр Р

В мире вообще много подонков. И?

— Гость (29/03/2014 03:25)   


Когда многие специалисты плевались с этих "Управлений" чьи сотрудники еще тогда ходили обвешанные золотом, Вы оказывали им содействие. А "бывших" не бывает! Намек понятен? Боимся мы вас, Саттва! Живете Вы в России! В отличие от нас не анонимны! Имеете ресурс на котором не ругают технические методы наведения "Порядка", но и учат их обходить и даже ругают ФСБ! А вы живы здоровы! В чем причина такого "везения" ?

— SATtva (29/03/2014 09:25)   

Вы оказывали им содействие.

Шта?

— Гость (12/11/2014 16:00)   
Криптолокеры^[link16] пишут нищеброды. Денег вымогают, а мыльника и vpn нет, прикрываются почтовыми сервисами для активистов.