En PC & Nätverksteknikers tankar

Det nyligen väckta viruset Gpcode.ak uppmärksamhet eftersom det krypterar filer på offrets dator och sen begär en lösensumma. Nu berättar IT-säkerhetsföretaget Kaspersky om en metod att återskapa filerna som krypterats.

Kasperskys metod utnyttjar en svaghet i hur viruset krypterar filerna som det tar som gisslan. Innan viruset krypterar en fil skapar det en ny fil som kommer att innehålla den krypterade versionen av filen. Efter det raderar viruset originalfilen. Eftersom båda filerna existerar samtidigt är de inte skrivna på samma plats på hårddisken. Viruset gör inget för att skriva över det utrymme där den okrypterade originalfilen fanns. Det gör att originalfilen kan återskapas med hjälp av ett vanligt filräddningsprogram.

Kaspersky Labs har testat olika gratis filräddningsprogram och rekommenderar PhotoRec som utvecklats av Christophe Grenier och distribueras under GPL-licens. Det ska klara att återskapa Microsoft Office-dokument, PDF-filer, körbara filer samt text dokument.

I två dagar försökte Kaspersky analysera och knäcka den nya varianten av viruset Gpcode som kidnappar och krypterar filer. Nu ber Kaspersky om hjälp från andra företag, myndigheter, kryptografer och forskare att knäcka virusets 1024 bitars publika nycklar.

Förra gången en variant av Gpcode spreds använde skurkarna bakom det en 660-bitars RSA-nyckel och de hade gjort ett par allvarliga misstag i hur de använde krypteringsalgoritmen.

Denna gång har inte Kaspersky hittat någon uppenbar brist och en brute-force knäckning beräknas ta flera år även om miljontals moderna datorer samarbetar.

Kaspersky har publicerat två stycken 1024-bitars nycklar som viruset använder och RSA exponenten för båda nycklarna. Kaspersky har också upprättat ett forum för de som vill samarbeta mot Gpcode. Om du är intresserad av att hjälpa till läs mer på Kasperskys forum, du kan även läsa deras rop på hjälp på Viruslist.com

Kaspersky varnar för ett nytt virus som med 1024 bitars RSA-algoritm krypterar dina filer. För att få tillgång till dem krävs att du betalar lösensumma.
En av de mer allvarligare formerna av skadlig kod är så kallad ransomware, som ”kidnappar” dina filer med hjälp av kryptering. För att åter få tillgång till dem så måste du betala en lösensumma. Vanligen brukar dock antivirusföretagen utveckla verktyg som knäcker krypteringen och gör att du får tillgång till filerna igen.

Ett nytt exempel på ransomware rapporteras nu från säkerhetsföretaget Kaspersky. Det är en variant av det tidigare kända Gpcode och har fått beteckningen Virus.Win32.Gpcode.ak. Viruset har utvecklats genom att göra krypteringen starkare. Tidigare versioner var skyddade med en 660 bitar lång nyckel, den nya versionen är 1024 bitar. Dessutom har en rad brister i tidigare versioner åtgärdats.

Kaspersky uppger att man arbetar på att utveckla ett verktyg så att den drabbade kan komma åt sina filer igen. Men att knäcka den 1024 bitar starka krypteringen genom råstyrka är i praktiken omöjligt. Istället koncentrerar man sig på att försöka hitta någon brist i implementationen.

I nuläget finns alltså förmodligen inget sätt att gå till väga på för att återfå filerna. Kaspersky uppmanar dock folk att inte ta kontakt med ”kidnapparna”, då detta förmodligen skulle leda till fler liknande angrepp i framtiden.

Viruset krypterar filer med bland annat ändelserna doc, txt, pdf, xls, jpg, png, och cpp. Dessa får istället filändelsen ._CRYPT. I katalogen ligger det också en readme-fil, i vilken kidnapparna berättar vad som har hänt och om man vill få tillgång till filerna så ska man höra av sig till en e-postadress. Användaren får även upp en dialogruta med samma budskap.

Källa: Kaspersky