Gpcode: насколько реальна опасность?
АрхивОнлайнНовый виток распространения вируса Gpcode заставляет вспомнить бурные вирусные эпидемии пяти-шестилетней давности. Вредоносная программа шифрует файлы пользователя и требует выкуп: 300 долларов.
<p>Новый виток распространения вируса Gpcode заставляет вспомнить бурные вирусные эпидемии пяти-шестилетней давности. Найденная недавно вредоносная программа под названием Virus.Win32.Gpcode.ak шифрует пользовательские файлы различных типов (DOC, TXT, PDF, XLS, JPG и другие.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. Но злоумышленники, конечно же, не предлагают пользователям самостоятельно подбирать ключ. Напротив, они проявляют готовность помочь им в этом, но за умеренную плату. Чтобы вернуть свои файлы, жертва должна перечислить злоумышленнику 300 долларов через одну из платежных интернет-систем.</p><p>Около двух лет назад специалисты уже сталкивались с иными версиями данного вируса, которые тоже шифровали пользовательские файлы, но ключом меньшей длины. Чтобы расшифровать файлы, не зная ключа, требовались огромные вычислительные ресурсы. Самый сложный ключ RSA, который удавалось взломать специалистам "Лаборатории Касперского", имел длину 660 бит. Чтобы подобрать такой ключ, обычному компьютеру с процессором 2,2 ГГц потребовалось бы около 30 лет. Взлом ключа длиной 1024 бита многократно сложнее.</p>
<p>"Скорее всего, случай с данным вирусом, шифрующим данные, является целевой атакой, случайно ставшей известной, - считает Михаил Калиниченко, генеральный директор компании StarForce Technologies. - Ведь при попадании вредоносной программы в систему крупной корпорации под угрозой могут оказаться данные всей компании. Соответственно, и выкуп может оказаться несоразмерно больше - 300 000 долларов, вместо 300." Блокировать пропущенную антивирусом вредоносную программу, по его мнению, можно лишь с помощью поведенческого анализа и контроля за программами в корпоративной среде.</p>
<p>"С угрозами подобного типа невозможно бороться с помощью только лишь антивирусных решений, - говорит Дмитрий Попович, директор по развитию бизнеса российского представительства BitDefender. - На антивирусы, даже самые надежные, в таких случаях рассчитывать бесполезно - ни одно решение не способно обеспечить абсолютно надежную защиту. Это связано с тем, что сигнатурные обновления, используемые в антивирусах, всегда опаздывают. Как правило, их выпускают после того, как некоторое число пользователей заразилось. Конечно, в антивирусах иногда используются и проактивные методы детектирования, которые позволяют защищаться от вредоносных программ, кроме их авторов никому не известных. Но такие методы могут лишь снизить вероятность заражения, а исключить ее полностью они не в состоянии.</p>
<p>Как быть в подобной ситуации? Попытаться вычислить ключ? Задействовать мощности современных компьютеров и центров обработки данных? Сотрудники "Лаборатории Касперского" выбрали оригинальный путь: они попытались организовать международную вычислительную сеть "Stop Gpcode". Суть инициативы заключалась в привлечении к расшифровке ключа Gpcode всех заинтересованных структур - компаний, вирусных аналитиков, научных и образовательных организаций, а также самих пользователей, которым небезразлична сохранность их персональных данных. По мнению специалистов "Лаборатории", именно общими усилиями и должен быть расшифрован хитроумный ключ, доставляющий столько беспокойства антивирусным вендорам и пользователям. Впрочем, со вторым утверждением можно поспорить, так как степень эпидемии Virus.Win32.Gpcode.ak на сайтах многих антивирусных компаний классифицируется как "средняя". Это означает, что о массовой эпидемии говорить не приходится.</p>
<p>Старший вирусный аналитик "Лаборатории Касперского" Виталий Камлюк утверждает, что последствия Gpcode куда более опасны, чем это может показаться на первый взгляд. "Возможно, у других антивирусных компаний просто нет экземпляра этого вируса, поэтому они считают его малораспространенным. Тем не менее, это вредоносная программа, которая наносит серьезный ущерб. Ее особенность в том, что, в отличие от классических вирусов, она не удаляет файлы, а шифрует их, и у пользователя появляется соблазн просто заплатить злоумышленнику для возврата своих данных. Да и будущие вирусописатели будут привлечены идеей быстрой и легкой наживы с помощью Gpcode. Если вирусная индустрия подхватит эту идею, то скоро мы столкнемся не с одной-двумя, а с тысячами модификаций Gpcode. Поэтому мы решили нанести в некоторой степени упреждающий удар. Да и нынешнюю угрозу от распространения этого вируса никак нельзя недооценивать. По нашим сведениям, зараженные этим вирусом пользователи находятся во многих странах на всех континентах земного шара", - говорит он.</p>
<p>Реакция специалистов на инициативу "Stop Gpcode" оказалась неоднозначной. "Не дело антивирусных компаний привлекать пользователей для решения таких задач, - говорит PR-менеджер российского представительства компании BitDefender Кирилл Северцев. - Каждый вендор должен быть в состоянии сам решать подобную проблему". Дмитрий Попович был ещё категоричнее: "Эта идея безумна. Взламывать криптозащиту - совсем не дело антивирусных компаний. На рынке есть услуги по восстановлению данных, к антивирусам это никакого отношения не имеет. Разработчикам антивирусов, с моей точки зрения, следует меньше эпатировать пользователей подобными кампаниями, а больше внимания уделять созданию продуктов, которые смогут избавить людей от необходимости что-то взламывать." </p>
<p>Спустя несколько дней в "Лаборатории Касперского" нашли иной выход из создавшейся ситуации. Ее аналитики выяснили, что в процессе заражения файла вирус создает его полную копию на жестком диске, которую затем автоматически удаляет. Разумеется, эта копия не является зашифрованной. В случае заражения пользователям предлагается, не перезагружая компьютер, применить специальное ПО для восстановления удаленных файлов. Одну из таких утилит, распространяемую, кстати, по свободной лицензии, специалисты "Лаборатории" напрямую рекомендуют. После восстановления самих файлов необходимо также восстановить и их названия и прежнее местоположение, для чего потребуется уже другая утилита, разработанная, собственно, в стенах самой "Лаборатории Касперского". Как говорится, спасение утопающих - дело рук самих утопающих, а мы лишь готовы провести с ними краткий курс спасения на водах.</p>