[Tanel]

Menelon OÜ, Kaspersky Lab´i ametlik esindaja, teatab väga ohtliku viiruse – Gpcode - avastamisest.
Uue viiruse Virus.Win32.Gpcode.ak signatuur lisati viirustõrjebaasidesse 4. juunil 2008. Praegu pole võimalik kahjustatud faile dekrüpteerida, kuna viirus kasutab krüptimiseks lahtimurdmiskindlat RSA-algoritmi, mille võtme pikkus on 1024 bitti. Viirus krüptib paljudes vormingutes (DOC, TXT, PDF, XLS, JPG, PNG, CPP, H jt) kasutajafaile. Peale seda ilmub ekraanile ingliskeelne teade: “Teie failid on krüptitud RSA-1024 algoritmiga. Failide dekrüpteerimiseks on vaja salajast võtit. Selle saab osta aadressil: xyz@yahoo.com». Kahjuks pole veel kindlaks tehtud viiruse levitamisteed, seetõttu soovitame lülitada sisse kõik kahjurprogrammivastased kaitsevahendid, mis teil on.

TÄHELEPANU! Kui te näete oma arvutis sellist teadet:

...siis on seda arvatavasti rünnanud Gpcode.ak. Sellisel juhul üritage SÜSTEEMI TAASKÄIVITAMATA JA VÄLJALÜLITAMATA võtta meiega ühendust, kasutades teist internetiühendusega arvutit.
Kirjutage meile e-posti aadressil stopgpcode@kaspersky.com ja teatage nakatumise täpne kuupäev ja kellaaeg, samuti, mida te tegite arvutis viimase 5 minuti jooksul enne selle nakatumist: milliseid programme käivitasite, millist veebilehte külastasite. Me üritame aidata teile tagastada šifreeritud andmed.
Vaatamata tekkinud olukorra keerukusele, analüüsivad meie analüütikud viirust edasi ja otsivad võimalusi dešifreerida faile ilma salajase võtmeta.
RSA-algoritm põhineb šifreerimisvõtmete jaotusel salajasteks ja avalikeks. RSA-algoritmiga šifreerimise printsiip kõlab: teate šifreerimiseks piisab vaid ühest avatud võtmest. Sellist teadet saab aga dešifreerida vaid salajast võtit omades.
Sellel printsiibil põhineb ka viirus Gpcode. Ta šifreerib kasutajafaile omaenese kehas asuva avatud võtmega. Faile dešifreerida saab ainult salajase võtme omanik ehk kahjurprogrammi Gpcode autor.
See pole esimene selline viirus, veel kaks aastat tagasi õnnestus Kaspersky Lab´il dekrüpteerida Gpcode eelmine versioon, mis kasutas 660-bitist RSA-võtit. Kuid seekord õppis kurjategija oma eelmistest vigadest ja ei korranud neid enam.

Kõik edasised täpsustused kajastuvad veebilehel: http://www.kaspersky.ee

[ufo56]

[Sold OUT]

No sellist jama ei oskagi kohe kommenteerida. Peaks hakkama viirusetõrjet kasutama

[Mihkel.]

carlking, sama siin. Lasin selle puhuks viirusetõrje peale just.

[heikis]

ei tea palju sellega teenitud juba on

[DigeBeni]

... siinkohal oleks vist paslik natuke linux'it promoda 8)

[Shelby-SV]

vot see on tõesti haige viirus

Kuna on kirjas mis aadressil tuleb salajase võtme omandamiseks ühendust võtta kas siis selle aadressi kaudu ei saa loojani jõuda?
igale poole jääb ju jälg maha.

[DonNiger]

Tundub tõsine asi olevat. Ega see mingi bulliwoodi film ole kus 1024 bitine kood vasaku käe kolme näpuka lahti murtakse. Tuleb dokumentidest plaadile koopia hoopis teha.

[M00t]

kas see viirus ohustab ka Vistat?

[KillerXP]

lisaks ka lingi kaspersky originaalartiklile
http://www.kaspersky.ee/news,1,307.htm

ise panin kaspersky antivirus 2009 tirima...

[sakinaga]

Ütleme nii, et minu varukoopiad on tehtud.

[Marduuhin]

Kas võimalus seda enda masinasse saada on tavapärasest suurem?

[Ezh]

xyz - on täiseti mitte see aadress. Vaadake pildil - ta peab palju suurem olla. XYZ - on matemaatikast.

[Ragnar7474]

Sooviks ka teada, et kui lollusi ikkagi ei tiri ja üleüldse mõistusega inimene oled siis ei tohiks ju tavapärasest suuremat võimalust nakatuda olla?

[KillerXP]

[JannoT]

Tuleb tegja kätte saada ja piinama hakata kuni võtme välja räägib.
Edito. Irw. Kuna viirus alati sama ja ei muutu siis peaks kõigil olema sama avalik võti eks? Ehk siis salajane võti on ka sama. Ehk siis karspersky võiks osta selle parooli ja integreerida selle oma viiruse tõrjesse.

[anonymic]

Eks tuleb Linux tööle lükata mõneks ajaks siis.

[Max Powers]

[Riivo]

Ma ei saa aru. Kas võti on siis igal failil erinev? Või üks ostab võtme ära ja räägib teistele ka...

[heikis]

[Ho Ho]

Pahalaste poolt dokumentide "pantvangi" võtmine pole eriti uus asi. Küll on minu jaoks uus, et sel viisil inimeste abo otsitakse

[tiirP]

[Tanel]

Cofy, see oli Menelon OÜ teade ja loomulikult reklaamitakse ka enda müüdavaid tooteid (Kaspersky).
Kui reklaam välja arvata, siis iseenesest on väga tänuväärt, kui selliste oluliste asjade koht jutt kokku pannakse.

[heikis]

varsti on viirustel litsentsid ka küljes ning aktiveeriminegi sisse poogitud.

[Max Powers]

Mingi viirus tuli ju koos EULAga hiljuti

[DonNiger]

nt BitDefender sellist viirust ei tunne

[tiirP]

Tanel, tänuväärt jah, olen nõus.
NOD32 Threat Encyclopedias pole seda, samuti ThreatSense Updates lehel, aga küll ta siis sinna tekib, kui tõesti väga ohtliku asjaga tegu on.

[JannoT]

[Tomorrow]

Veel täpsustusi:
http://www.viruslist.com/en/viruses/encyclopedia?virusid=313444

[guardv]

kas keegi on juba uurinud mis hinnaga seda võtit üldse müüakse - kui müüakse pigem see selline must huumor

[Ezh]

Kõige huvitaim on:

The virus uses Microsoft Enhanced Cryptographic Provider v1.0 (built into Windows) to encrypt files. Files are encrypted using the RC4 algorithm. The encryption key is then encrypted using an RSA public key 1024 bits in length which is in the body of the virus.

[guardv]

[DonNiger]

tomorrow, tahtsin just sama välja pakkuda

Midagi jäi veel meelde - kui jätta välja high end PC'd, siis kontorirottidele ostetud/kodukasutaja arvutitel võtab failide krüpteerimine, kopeerimine ja kustutamine omajagu aega. Selle viimase 5 minuti tegevuste edastamine kasperskile tundub sellisel juhul suht mõttetu

[Ezh]

Microsoft Enhanced Cryptographic Provider v1.0 on Windowsi sisseehitatud ja seda kasutatavad palju programme.

[Dirty Harry]

Selliste kangete ning destruktiivsete viiruste levik on väga abiks inimeste raputamiseks ja meeldetuletamiseks, et elu võrgus pole niisama lihtne ja turvaline. CIH-isugune kuriloom oleks veel eriti abiks.

[heretic666]

Tore oleks, kui see viiruse autor pärast kätte ka saadakse.

[Max Powers]

[guardv]

[rang]

Õnneks olen mina ubuntu kasutaja
Ok, tegelikult hetkel siiski windowsi taga

[cochrane]

[Tomorrow]

NB .Ohtlik turvaviga HV-s .Millegipärast saan muuta/kustutada kõikide kasutajate postitusi siis teemas k.a Taneli.Muutsin just kasutaja guardv posti kustutades sealt ühe tähe .

Mis? .Ma olen mode? :

Spoiler

[walkman]

hmm, aga mis om see hää tasuta viirustõrje ?

[sirius4k]

[reints]

Aga kes garanteerib et kui oled papi ära masknud et sa siis oma filed tagasi saad ?

[Sold OUT]

[Tanel]

[tahanteada]

Huvitav, miks juba üsna vana Viiruse-uudist nüüd järsku uue pähe pakutakse 8) Sellistest viirustest, mis koodi panevad ja siis koodi ostmist nõuavad, kirjutati juba üsna ammu. Ning seda teemat käsitles ka mingi kollane kirjandus puha eesti keeles - kas SLÕL või oli see Delfi. Kes viitsib, otsib ise.

Üks suvaline kiirotsing ja vaadake selle uudise vanust.
http://www.juniper.net/security/virus/alerts/178610106.html

Edasi veel see, et tegemist on n-ö GSpode perekonna liikmega.
http://www.f-secure.com/v-descs/gpcode.shtml

[guardv]

[Tomorrow]

[mikk36]