«Лаборатория Касперского» выявила новую версию «вируса-шантажиста» Gpcode (Virus.Win32.Gpcode.ak). Этот вирус шифрует пользовательские файлы с расширениями .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др. при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. К названиям зашифрованных файлов вирус добавляет подпись ._CRYPT и оставляет в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщается о проведенном шифровании и предлагается купить у преступника дешифратор. Полный текст сообщения гласит:
«Your files are encrypted with RSA-1024 algorithm.To recovery your files you need to buy our decryptor.To buy decrypting tool contact us at: ********@yahoo.com»
До сих пор экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.
До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт.
Сейчас специалисты «Лаборатории» вынуждены констатировать, что вскрыть ключ длиной в 1024 бита им не удаётся.
Пользователям, обнаружившим вышеприведённое сообщение на своих компьютерах, рекомендовано обратиться к экспертам компании, используя другой компьютер с выходом в интернет, по адресу stopgpcode@kaspersky.com, сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.
Сотрудники «Лаборатории Касперского» приложат все усилия, чтобы помочь пострадавшим пользователям вернуть зашифрованные данные.
Платить же шантажистам не рекомендуется, поскольку никаких гарантий получения жертвой дешифратора нет и быть не может.
источник http://security.compulenta.ru/359061/