Kaspersky Lab
يطلب المساعدة العالمية لصد فيروز الشبح الذي لم يجد له حلا
virus GPCode
sécurité
Kaspersky Lab demande du renfort pour éradiquer le virus GPCode
L'éditeur d'antivirus lance un étrange appel à contribution sur la Toile pour décoder la clé de chiffrement d'un virus rançonneur.
Une fois n'est pas coutume, un éditeur de sécurité avoue son impuissance face à un code malveillant. Le russe Kaspersky Lab vient en effet de lancer un appel à contribution à l'échelle mondiale, pour venir à bout d'un virus « rançonneur » du nom de GPCode. Son opération « Stop GPCode » a officiellement pour if d' « inciter tous les spécialistes du chiffrement à travers le monde à rassembler leurs efforts pour décrypter la clé RSA de 1 024 bits utilisée dans la dernière version de GPCode ».
GPCode est un cheval de Troie qui, une fois installé sur un PC, crypte tous les fichiers portant une quinzaine d'extensions courantes (.xls, .doc, .jpg, .txt, etc.). Les fichiers originaux sont supprimés, mais GPCode laisse des versions cryptées et un petit indice à sa victime : un message texte indiquant la marche à suivre pour décoder les documents. Pour retrouver ses données, l'utilisateur doit payer une rançon de 300 dollars, en utilisant une adresse de webmail communiquée dans le message d'instructions.
Une opération présentée comme un « challenge technologique »
GPCode a déjà sévi par le passé, mais il avait pu être contré. Cette fois, la nouvelle version du virus (appelée Virus.Win32.Gpcode.ak chez Kaspersky) utiliserait une clé de cryptage à 1 024 bits, très compliquée à « casser ». D'où le besoin de renfort manifesté par Kaspersky. « La puissance cumulée d'environ 15 millions d'ordinateurs en réseau fonctionnant pendant plus d'un an serait nécessaire pour casser la clé » , indique l'éditeur, qui a mis en ligne un forum dédié, peu actif à ce jour.
De fait, on peut s'interroger sur l'intérêt d'un tel appel à contribution. A supposer que des centaines de chercheurs se mettent à l'ouvrage, combien de temps durerait l'opération ? Peut-on imaginer que les utilisateurs infectés attendent des mois, voire des années, pour retrouver leurs fichiers, sachant que les plus prévoyants n'auront qu'à réinstaller leur dernière sauvegarde sur leur PC pour contourner le chantage ?
« Il faudrait 15 millions de PC pour obtenir la puissance nécessaire, mais beaucoup moins avec des centres de calcul », répond un porte-parole de Kaspersky Lab France. La tâche n'en reste pas moins difficilement réalisable à court terme. Réfutant toute accusation de coup marketing, Kaspersky Lab présente aussi son opération comme un challenge technologique. Un argument indiscutable, a priori le seul qui pourrait convaincre les fans de cryptage de céder à son appel.
*****************************************************
Analyst's Diary
Help crack Gpcode
Aleks June 06, 2008 | 16:50 GMT
comment
If you read Vitaly's blogpost yesterday, you'll know that on the 4th June 2008 we detected a new variant of Gpcode, a dangerous file encryptor. Details of the encryption algorithms used by the virus are all in Vitaly's post and the description of Gpcode.ak.
Along with antivirus companies around the world, we're faced with the task of cracking the RSA 1024-bit key. This is a huge cryptographic challenge. We estimate it would take around 15 million modern computers, running for about a year, to crack such a key.
Of course, we don't have that type of computing power at our disposal. This is a case where we need to work together and apply all our collective knowledge and resources to the problem.
So we're calling on you: crytographers, governmental and scientific institutions, antivirus companies, independent researchers…join with us to stop Gpcode. This is a unique project – uniting brain-power and resources out of ethical, rather than theoretical or malicious considerations.
Here are the public keys used by the authors of Gpcode.
The first is used for encryption in Windows XP and higher.
Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
c0c21d693223d68fb573c5318982595799d2d295ed37da38be41ac8486ef900a
ee78b4729668fc920ee15fe0b587d1b61894d1ee15f5793c18e2d2c8cc64b053
9e01d088e41e0eafd85055b6f55d232749ef48cfe6fe905011c197e4ac6498c0
e60567819eab1471cfa4f2f4a27e3275b62d4d1bf0c79c66546782b81e93f85d
The second is used for encryption in versions of Windows prior to XP.
Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
d6046ad6f2773df8dc98b4033a3205f21c44703da73d91631c6523fe73560724
7cc9a5e0f936ed75c75ac7ce5c6ef32fff996e94c01ed301289479d8d7d708b2
c030fb79d225a7e0be2a64e5e46e8336e03e0f6ced482939fc571514b8d7280a
b5f4045106b7a4b7fa6bd586c8d26dafb14b3de71ca521432d6538526f308afb
The RSA exponent for both keys is 0x10001 (65537).
The information above is sufficient to start factoring the key. A specially created utility could be of great help in factoring.
We're happy to provide additional information to anyone involved in stopping Gpcode. To keep everyone up to date, we've set up a dedicated forum.
يطلب المساعدة العالمية لصد فيروز الشبح الذي لم يجد له حلا
virus GPCode
sécurité
Kaspersky Lab demande du renfort pour éradiquer le virus GPCode
L'éditeur d'antivirus lance un étrange appel à contribution sur la Toile pour décoder la clé de chiffrement d'un virus rançonneur.
Une fois n'est pas coutume, un éditeur de sécurité avoue son impuissance face à un code malveillant. Le russe Kaspersky Lab vient en effet de lancer un appel à contribution à l'échelle mondiale, pour venir à bout d'un virus « rançonneur » du nom de GPCode. Son opération « Stop GPCode » a officiellement pour if d' « inciter tous les spécialistes du chiffrement à travers le monde à rassembler leurs efforts pour décrypter la clé RSA de 1 024 bits utilisée dans la dernière version de GPCode ».
GPCode est un cheval de Troie qui, une fois installé sur un PC, crypte tous les fichiers portant une quinzaine d'extensions courantes (.xls, .doc, .jpg, .txt, etc.). Les fichiers originaux sont supprimés, mais GPCode laisse des versions cryptées et un petit indice à sa victime : un message texte indiquant la marche à suivre pour décoder les documents. Pour retrouver ses données, l'utilisateur doit payer une rançon de 300 dollars, en utilisant une adresse de webmail communiquée dans le message d'instructions.
Une opération présentée comme un « challenge technologique »
GPCode a déjà sévi par le passé, mais il avait pu être contré. Cette fois, la nouvelle version du virus (appelée Virus.Win32.Gpcode.ak chez Kaspersky) utiliserait une clé de cryptage à 1 024 bits, très compliquée à « casser ». D'où le besoin de renfort manifesté par Kaspersky. « La puissance cumulée d'environ 15 millions d'ordinateurs en réseau fonctionnant pendant plus d'un an serait nécessaire pour casser la clé » , indique l'éditeur, qui a mis en ligne un forum dédié, peu actif à ce jour.
De fait, on peut s'interroger sur l'intérêt d'un tel appel à contribution. A supposer que des centaines de chercheurs se mettent à l'ouvrage, combien de temps durerait l'opération ? Peut-on imaginer que les utilisateurs infectés attendent des mois, voire des années, pour retrouver leurs fichiers, sachant que les plus prévoyants n'auront qu'à réinstaller leur dernière sauvegarde sur leur PC pour contourner le chantage ?
« Il faudrait 15 millions de PC pour obtenir la puissance nécessaire, mais beaucoup moins avec des centres de calcul », répond un porte-parole de Kaspersky Lab France. La tâche n'en reste pas moins difficilement réalisable à court terme. Réfutant toute accusation de coup marketing, Kaspersky Lab présente aussi son opération comme un challenge technologique. Un argument indiscutable, a priori le seul qui pourrait convaincre les fans de cryptage de céder à son appel.
*****************************************************
Analyst's Diary
Help crack Gpcode
Aleks June 06, 2008 | 16:50 GMT
comment
If you read Vitaly's blogpost yesterday, you'll know that on the 4th June 2008 we detected a new variant of Gpcode, a dangerous file encryptor. Details of the encryption algorithms used by the virus are all in Vitaly's post and the description of Gpcode.ak.
Along with antivirus companies around the world, we're faced with the task of cracking the RSA 1024-bit key. This is a huge cryptographic challenge. We estimate it would take around 15 million modern computers, running for about a year, to crack such a key.
Of course, we don't have that type of computing power at our disposal. This is a case where we need to work together and apply all our collective knowledge and resources to the problem.
So we're calling on you: crytographers, governmental and scientific institutions, antivirus companies, independent researchers…join with us to stop Gpcode. This is a unique project – uniting brain-power and resources out of ethical, rather than theoretical or malicious considerations.
Here are the public keys used by the authors of Gpcode.
The first is used for encryption in Windows XP and higher.
Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
c0c21d693223d68fb573c5318982595799d2d295ed37da38be41ac8486ef900a
ee78b4729668fc920ee15fe0b587d1b61894d1ee15f5793c18e2d2c8cc64b053
9e01d088e41e0eafd85055b6f55d232749ef48cfe6fe905011c197e4ac6498c0
e60567819eab1471cfa4f2f4a27e3275b62d4d1bf0c79c66546782b81e93f85d
The second is used for encryption in versions of Windows prior to XP.
Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
d6046ad6f2773df8dc98b4033a3205f21c44703da73d91631c6523fe73560724
7cc9a5e0f936ed75c75ac7ce5c6ef32fff996e94c01ed301289479d8d7d708b2
c030fb79d225a7e0be2a64e5e46e8336e03e0f6ced482939fc571514b8d7280a
b5f4045106b7a4b7fa6bd586c8d26dafb14b3de71ca521432d6538526f308afb
The RSA exponent for both keys is 0x10001 (65537).
The information above is sufficient to start factoring the key. A specially created utility could be of great help in factoring.
We're happy to provide additional information to anyone involved in stopping Gpcode. To keep everyone up to date, we've set up a dedicated forum.
