Virus cifra archivos con clave invulnerable

Pistemas · #1 (**permalink**) 09/06/2008, 10:45

La compañía de seguridad informática Kaspersky Labs advierte contra un virus extorsionador actualizado. El virus GpCode cifra los archivos del PC impidiendo su lectura. Luego notifica al afectado que para obtener la clave usada para cifrar el material es necesario contactar a una dirección anónima de correo electrónico. La clave usada es de RSA de 1.024 bits y actualmente es imposible de romper.

El virus en cuestión cifra los archivos doc, txt, pdf, jpg y ccp. La raíz de los archivos intervenidos es modificada a ._crypt y son subidas a un archivo de texto donde se indica que es necesario comprar una clave para recuperar el acceso a los archivos.

Anteriormente, Kaspersky ha logrado vulnerar el sistema de cifrado de una versión anterior de GpCode, con clave de 660 bits. Sin embargo, los desconocidos autores del virus han actualizado el código, de forma que emplea el invulnerable algoritmo de 1.024 bits.

Los expertos de Kaspersky están abocados a detectar debilidades en el código del virus, con el fin de recuperar los archivos sin que sea necesario usar la clave. Kaspersky sugiere a los usuarios afectados por el virus contactarles de inmediato y no reiniciar ni apagar el PC infectado.

Fuente:

Pues si, practicamente impenetrable, cuidado con lo que bajan!!

reduardowise · #2 (**permalink**) 09/06/2008, 12:00

realmente preocupante, aca les dejo el enlace oficial de kasperky y espero que se resuelva rapido este caso alarmante....

saludos

Nuevo virus cifra archivos con clave invulnerable y cobra rescate

elias77 · #3 (**permalink**) 09/06/2008, 18:21

Un algoritmo de 1.024 bits es asombroso.

sagi · #4 (**permalink**) 09/06/2008, 18:29

Creo que yo tengo un viris désos en mi cabeza, seguido se me olvidan las contraseñas.

webosiris · #5 (**permalink**) 10/06/2008, 20:06

Cita:

Iniciado por reduardowise

Nuevo virus cifra archivos con clave invulnerable y cobra rescate

es noticia es de la anterior versión del virus, el de la nueva es http://www.kaspersky.com/news?id=207575650

y si, da miedo.... de hecho los de kampesky lanzaron una iniciativa interacional donde pide colaboración de expertos en criptografía, insituciones de seguridad y gobierons

Pistemas · #6 (**permalink**) 11/06/2008, 08:19

WOW!!!

todo mundo trabajando para descifrar un encriptado creado por un virus, que lo mas seguro es que lo hallan hecho solo unos cuantos.

se me ocurren un par de soluciones, pero ne!!! batallen un poco, cuando no puedan me avisan

si como no!!

DONKIKO · #7 (**permalink**) 11/06/2008, 08:49

Parece ser que una manera de protegerse, mientras se consigue una solución, es cambiarle el atributo a los archivos que nos parezcan importantes:

"Los ficheros que se encuentran en el catálogo Program Files no se cifran. El virus tampoco cifra los siguientes ficheros:
los que tienen atributo de “sistema” y “oculto”;

los que tienen un tamaño menor a 10 bytes;

los que tienen un tamaño mayor a 734003200 bytes"

Informe completo aquí:

http://www.viruslist.com/sp/viruses/...virusid=313444

monoswim · #8 (**permalink**) 12/06/2008, 09:30

como hacen para cobrar por volver a usar los archivos ?

Si el pago se realiza siempre pero SIEMPRE de quien lo cobra...

Saludos

metacortex · #9 (**permalink**) 12/06/2008, 09:53

Cita:

Iniciado por elias77

Un algoritmo de 1.024 bits es asombroso.

Y más aún si es de doble vía.

Una duda: el método de encriptación se llama RSA-4096. Son 1024 o 4096 bytes?

David · #10 (**permalink**) 12/06/2008, 09:58

La verdad que yo no entiendo mucho del tema de la encriptación, pero supongo que habrán tenido mucho trabajo para crear un algoritmo de 1.024 bits. Cada vez el mundo de la informática se vuelve más peligroso

.

#11 (**permalink**) 13/06/2008, 10:52

El algoritmo no lo crearon los delincuentes, ya existía de antes.
Dice ser RSA-4096 pero en la nota de Kaspersky se menciona que eso no es cierto, que en realidad usan una versión modificada del algoritmo RC4.

El problema, como siempre, es el tiempo. El cifrado no es invulnerable, pero sacando cuentas se puede llegar facilmente a ver que se demorarían miles de años en resolverlo.

Hace algunos años, se hizo un concurso en el que había que 'reventar' un cifrado de RSA-600 (de 600 bits). Según recuerdo de la nota, el reto se resolvió usando un poder de procesamiento similar al que tendría una máquina de la época (2004, si no me equivoco) trabajando durante 50 años.

Así que como enfermito que soy, saqué cuentas: dado el carácter exponencial del reto, necesitarías el doble de tiempo para resolver por fuerza bruta un cifrado de 601 bits. Y luego el doble de tiempo (promedio) para resolver uno de 602.. y así sucesivamente.

Por lo tanto, si suponemos que se puede resolver el RSA-600 por fuerza bruta en 1 segundo (algo que es absurdo en la actualidad), necesitamos

2^(1024-600) = 2^424

segundos para resolver el de 1024 bits (siempre por fuerza bruta).

Sacando cuentas de nuevo (y aproximando a lo bestia):

sabiendo que 1024 = 2^10
2^424 ~ 1024^40 ~ 10^43

Si consideramos que en un año hay 60*60*24*365 = 31536000 segundos (más o menos 3x10^7), nos queda que para resolver el reto por fuerza bruta necesitamos por lo menos 3^36 AÑOS. (si redondeamos 10 ~ 3^2, queda 10^18, creo que así es más fácil de ver)

La estadística dice que se resolverá en más o menos la mitad del tiempo, pero esto nos deja "solamente" 1,5^36 años.

Creo que queda claro el motivo por el que están pidiendo ayuda a la comunidad de criptógrafos: necesitan encontrar una vulnerabilidad en el método de cifrado sí o sí.
Por suerte la página de la wikipedia menciona que el algoritmo es un tanto frágil, así que podría ser quebrado.

Saludos.

webosiris · #12 (**permalink**) 13/06/2008, 12:30

Cita:

Iniciado por alvlin

El algoritmo no lo crearon los delincuentes, ya existía de antes.
Dice ser RSA-4096 pero en la nota de Kaspersky se menciona que eso no es cierto, que en realidad usan una versión modificada del algoritmo RC4.

lee la nota que puse yo porque la otra es vieja, el RC4 los usaban en la version anterior del virus, ahora si usan RSA

Cita:

Por suerte la página de la wikipedia menciona que el algoritmo es un tanto frágil, así que podría ser quebrado.

eso se refiere al RC4, y efectivamente así (gracias a una falla de la implementación del cifrado) se resolvían las anteriores versiones del virus... eso no es aplicable ahora... el/los creadores del virus se tomaron 2 años para arreglarlo y aparentemente lo hicieron sin cometar errores tontos.

Cita:

Kaspersky Lab virus researchers have to date been able to crack keys up to 660 bits. This was the result of a detailed analysis of the RSA algorithm implementation. It has been estimated that if the encryption algorithm is implemented correctly, it would take 1 PC with a 2.2 Ghz processor around 30 years to crack a 660-bit key. The author of Gpcode has taken two years to improve the virus: the previous errors have been fixed and the key has been lengthened to 1024 bits instead of 660. At the time of writing we are unable to decrypt files encrypted by Gpcode.ak since the key is 1024 bits long and we have not found any errors in implementation yet.