РРМodd - редактор файла ррм

[AlexRk]

ммм, mcuw зашифрована rsa1024 v3

Знаем мы это(((

Вот если б знать как расшифровать...

[AlexRk]

Кстати чтобы некоторые пользователи могли яснее понять с чем мы имеем дело привожу два примера из которых можно сделать различные выводы

ПредысторияВ 2004 году на просторах интернета появился вирус с именем Gpcode.

Действовал он следующим образом - на почту приходило некое письмо о работе с просьбой заполнить анкету. К письму прилагался .doc файл с вредоносным макросом который запускал скрипт на вижуал бейсике скачивающий с удалённого адреса троян. Вред от трояна заключался в следующем - рандомные файлы на комьютере жертвы оказывались зашифрованы. Наглухо, и вместе с ними лежал файлик .txt в котором злоумышленник предлагал дешифровать файлы за соответствующее вознаграждение. В те времена лаборатория касперского без труда взломала самописный алгоритм хакера и угроза была устранена. Далее хакер с завидной постоянностью начал выпускать новые версии своего трояна, у которых был всё более и более длинный ключ шифрования, 56, 67, 260, 330 бит. Предпоследняя, потрясающая по своей мощи версия трояна шифровала данные используя ключ длинной 660 бит. Для справки: на подбор такого ключа у среднестатистического компьютера с процессором 2.2 Ghz уйдёт порядка 30-ти лет. Но и с этой угрозой работники Лаборатории Касперского справились. На вопросы о том, как им удалось совершить невозможное специалисты отмалчивались и ухмылялись в усы.

Однако 4 июня 2008 года, Хакер нанёс свой новый удар. В новой версии данного вируса, получившей название Virus.Win32.Gpcode.ak, используется ключ длиной в 1024 бита. Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей криптографической проблемой.

 

«Лаборатория Касперского» объявила о запуске международной инициативы «Stop Gpcode». Целью данной инициативы является факторизация («взлом») ключа RSA-1024, который используется во вредоносной программе Virus.Win32.Gpcode.ak — последней версии опасного вируса-шантажиста Gpcode.

 

«Лаборатория Касперского» пригласила всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Компания готова предоставить любую дополнительную информацию и открыта для диалога со специалистами, желающими принять участие в инициативе «Stop Gpcode». Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа.

 

Для координации действий между участниками инициативы создан специальный форум >>«Stop Gpcode»<<

Virus.Win32.Gpcode.ak

«Лаборатория Касперского» сообщает об обнаружении новой версии «зловреда-вымогателя» Gpcode — Virus.Win32.Gpcode.ak.

 

Новая версия Gpcode шифрует файлы с расширениями DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др. на жестких дисках посредством алгоритма RSA с ключом длиной 1024 бита.

 

После шифрования файлов вирус оставляет рядом с ними следующее текстовое сообщение:

 

Your files are encrypted with RSA-1024 algorithm.

To recovery your files you need to buy our decryptor.

To buy decrypting tool contact us at: ********@yahoo.com

 

В настоящее время возможности восстановить зашифрованную зловредом информацию, не поддаваясь на требования шантажиста, не существует.

 

«Лаборатория Касперского» рекомендует всем интернет-пользователям включить на своих компьютерах максимально возможные режимы защиты от вредоносных кодов и сетевых атак и воздержаться от запуска подозрительных программ, пришедших к вам из ненадёжных источников.

 

Детектирование Virus.Win32.Gpcode.ak было добавлено в сигнатурные базы Антивируса Касперского вчера вечером, 4 июня в 18:39 MSK.

 

Наша антивирусная лаборатория обнаружила новую версию опасного вируса, известного как Gpcode. Вирус шифрует пользовательские файлы из широкого набора расширений: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др.

 

Детектирование нового вируса Virus.Win32.Gpcode.ak было добавлено в антивирусные базы вчера, 4 июня 2008 года. На данный момент расшифровать поражённые файлы не представляется возможным, поскольку вирус использует криптостойкий алгоритм шифрования RSA с длинной ключа 1024 бита.

 

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

 

На этом принципе основан вирус Gpcode. Он шифрует пользовательские файлы при помощи имеющегося у него открытого ключа, находящегося в теле вируса. Расшифровать файлы затем может лишь владелец секретного ключа, т.е. автор вредоносной программы Gpcode.

 

«Лаборатория Касперского» уже сталкивалась с вирусом Gpcode ранее (см. статью «Шантажист»), и нам удавалось получить секретный ключ путем детального криптоанализа имеющихся данных. До сих пор максимальная длина ключа RSA, которую нам удалось «взломать» составляла 660 бит, и взлом был возможен благодаря неосторожным допущениям автора в реализации алгоритма шифрования. Автор выждал почти 2 года прежде чем создать новую усовершенствованную версию вируса с RSA-шифрованием, и эта новая версия больше не содержит старых ошибок.

 

При обнаружении первых версий Gpcode на основе RSA в 2006 году мы предупреждали, что в случае аккуратного использования RSA вирусописателем, мы не сможем помочь пользователям, файлы которых окажутся зашифрованы. Шифрование файлов таким образом равносильно их несанкционированному копированию на компьютер преступника с удалением с компьютера пользователя. В таких случаях помочь могут лишь уполномоченные правоохранительные органы.

 

После шифрования файлов вирус оставляет текстовое сообщение рядом с зашифрованными файлами, в котором говорится:

 

Your files are encrypted with RSA-1024 algorithm.

To recovery your files you need to buy our decryptor.

To buy decrypting tool contact us at: ********@yahoo.com

 

К сожалению, пути распространения вируса пока не определены, поэтому мы рекомендуем включить все имеющиеся у вас компоненты защиты от вредоносных программ.

 

ВНИМАНИЕ! Если вы стали свидетелем такого сообщения на своём компьютере:

 

 

 

...То, скорее всего, он был атакован Gpcode.ak. В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет.

 

Напишите нам на email stopgpcode@kaspersky.com и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли. Мы постараемся помочь вам вернуть зашифрованные данные.

 

Несмотря на трудность сложившейся ситуации, наши аналитики продолжат анализировать вирус и искать подходы для дешифровки файлов без секретного ключа.

 

Такие дела...

 

http://www.viruslist.com/ru/weblog

«Лаборатория Касперского» приглашает экспертов и специалистов в области криптографии к участию в проекте «Stop Gpcode!»

 

4 июня 2008 года специалистами ЛК был обнаружен новый вариант опасной вредоносной программы – шифровальщика «Gpcode».

 

Для шифрования файлов новый вариант Gpcode использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA длиной 1024 бит, содержащимся в теле вируса.

 

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение, достаточно иметь открытый ключ. Расшифровать зашифрованное сообщение можно, только располагая секретным ключом.

 

До сих пор все попытки факторизации ключей RSA останавливались на отметке 663 бит, решение этой задачи потребовала трехмесячной работы кластера из 80-и компьютеров.

 

«Лаборатория Касперского» ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист»), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных. Максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 бит.

 

Задача «взлома» ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей и фундаментальной криптографической проблемой. По нашим оценкам, на взлом подобного ключа требуется примерно год работы пятнадцати миллионов современных компьютеров.

 

Мы не обладаем подобными вычислительными мощностями.

 

«Лаборатория Касперского» приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы.

 

Мы считаем задачу «взлома» ключа RSA-1024, который использовал злоумышленник, первым в истории случаем, который требует объединения накопленных знаний и существующих вычислительных ресурсов для достижения практической и благородной цели, а не только для академических исследований или хакерства.

 

Мы публикуем открытые ключи, использованные автором Gpcode.

 

Один ключ используется для шифрования в операционных системах Windows XP и выше.

 

Key type: RSA KeyExchange

bitlength: 1024

RSA exponent: 00010001

RSA modulus :

c0c21d693223d68fb573c5318982595799d2d295ed37da38be 41ac8486ef900a

ee78b4729668fc920ee15fe0b587d1b61894d1ee15f5793c18 e2d2c8cc64b053

9e01d088e41e0eafd85055b6f55d232749ef48cfe6fe905011 c197e4ac6498c0

e60567819eab1471cfa4f2f4a27e3275b62d4d1bf0c79c6654 6782b81e93f85d

 

Второй – в Windows ранних версий (до Windows XP).

 

Key type: RSA KeyExchange

bitlength: 1024

RSA exponent: 00010001

RSA modulus:

d6046ad6f2773df8dc98b4033a3205f21c44703da73d91631c 6523fe73560724

7cc9a5e0f936ed75c75ac7ce5c6ef32fff996e94c01ed30128 9479d8d7d708b2

c030fb79d225a7e0be2a64e5e46e8336e03e0f6ced482939fc 571514b8d7280a

b5f4045106b7a4b7fa6bd586c8d26dafb14b3de71ca521432d 6538526f308afb

 

Экспонента для обоих ключей: 0x10001 (65537).

 

Этой информации достаточно для того, чтобы специалисты смогли приступить к факторизации ключа.

 

Значительную помощь в решении задачи может оказать создание специальной утилиты для проведения факторизации.

 

«Лаборатория Касперского» готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум «Stop Gpcode».

http://www.viruslist.com/ru/weblog

17 июня 2008 | 17:32 MSK

 

комментировать

Инициатива "Stop Gpcode" привлекла внимание специалистов по всему миру. К нам примкнули как отдельные исследователи, так и небольшие организации, заинтересованные в решении проблемы вируса-шантажиста.

 

Нас много спрашивают о методах распространения вируса. По результатам анализа нескольких зараженных компьютеров мы пришли к выводу, что вирус загружался на компьютеры пользователей с помощью другой вредоносной программы-бота с функцией Trojan-Downloader. Этой программой пострадавшие компьютеры были заражены задолго до появления на них вируса Gpcode, и, помимо Gpcode, бот использовался для загрузки множества других троянских программ.

 

Секретный (private) RSA ключ для расшифровки по-прежнему не найден. Однако наша упорная работа над анализом алгоритма работы Gpcode.ak принесла пусть небольшой, но положительный результат: автор вируса сделал ошибку, которая позволяет при определенных условиях расшифровать часть файлов, не имея секретного RSA ключа.

 

Следует отметить, что эффективность нового метода восстановления может составить от 0 до 98% всех зашифрованных файлов на компьютере и зависит как от конкретной компьютерной системы, которая подверглась атаке, так и от ряда дополнительных факторов. Среднее число файлов, которые можно восстановить на среднестатистической компьютерной системе, оценить пока невозможно.

 

В настоящее время наши специалисты работают над созданием утилиты для восстановления зашифрованных Gpcode.ak файлов с использованием нового метода.

[gore]

немного дополню за взлом rsa1024 разработчики заплатят 200.000 уе

и так, полазив немного по просторам интернета стало известно что у нокии все используется некая смесь rsa1024+sha1, но превалирует rsa1024, есть вопрос: есть ли у кого открытые ключи нокии?

и вдогонку нужен бутлоадер нокии

[S.T.R.Vlad]

Проще исходники у нокии свистнуть....

[gore]

Проще исходники у нокии свистнуть....

смысла 0, так как ну свисниш пасмотриш, измениш, а на телефон залить как?

[S.T.R.Vlad]

Тырить исходники вместе с инженерами и программистами

Не силен я в вопросах програмирования (особенно телефонов), но как они компилируют файлы?

[AlexRk]

немного дополню за взлом rsa1024 разработчики заплатят 200.000 уе

и так, полазив немного по просторам интернета стало известно что у нокии все используется некая смесь rsa1024+sha1, но превалирует rsa1024, есть вопрос: есть ли у кого открытые ключи нокии?

и вдогонку нужен бутлоадер нокии

Смысл нам с открытого ключа если мы никогда не узнаем закрытый?

[gore]

Смысл нам с открытого ключа если мы никогда не узнаем закрытый?

есть лобовая атака, которой я и займусь

[AlexRk]

есть лобовая атака, которой я и займусь

всмысле?

 

А данные разве не дешифруются когда в телефон льются ?

[Artiom]

есть лобовая атака, которой я и займусь

gore, если ты имеешь ввиду перебор ключей, или любую другую операцию, где надо мощное железо, могу помочь.

[gore]

gore, если ты имеешь ввиду перебор ключей, или любую другую операцию, где надо мощное железо, могу помочь.

спасибо, но немного позже, пока делаем совместно с математиками конечную формулу, которая пойдет для создания программы

[Sid Meyer]

Хотите незаметно записывать разговоры но телефон при записи подает сигналы собеседнику? Через PPModd в секции TONE удалите мелодии VRST (начало записи диктофоном) и VRRT (сигнал каждые 5 секунд). Проблема решена

VRFT - сигнал в конце записи

[Dimagrisha]

Хотите незаметно записывать разговоры но телефон при записи подает сигналы собеседнику? Через PPModd в секции TONE удалите мелодии VRST (начало записи диктофоном) и VRRT (сигнал каждые 5 секунд)

После этого тел шьётся без проблем?

[Sid Meyer]

Dimagrisha,

Конечно. Иначе смысла б не было Все четко

[Dimagrisha]

Всё работает, но есть сигнал окончания записи. Как я понял VR в VRST и в VRRT расшифровывается как Voice Recording. Если так полагать, то возможно сигнал окончания записи VRET или VRFT. Надо будет поудалять их и проверить.

[Sid Meyer]

Dimagrisha,

я же писал выше:

VRFT - сигнал в конце записи

а VRET это сигнал об ошибке при записи.

Кстати в самих этих ресурсах все написано - надо смотреть в WinHex. Если бы еще разобраться как кодируются такие мелодии, можно было бы создавать свои. Не исключено, что мелодии этого формата можно заменить на MIDI или AAC, но я не проверял.

-----------------------------------------------------------------

U001 - звук камеры в формате AAC. Можно менять на свой

[Dem1962]

Sid Meyer

Сделал так:

Все - VRST,VRFT, VRRT,VRET просто испортил - дописал в XML нолики и всё, при записи полная тишина, никаких писков и всё работает, а если удалять VRST, VRRT, VRFT(+VRET) телефон труп.

P.S. телефон 6300.

[Dimagrisha]

Dem1962

Куда именно ты дописывал нолики? А то я дописал, а звуки пашут или труп.

[Dem1962]

Куда именно ты дописывал нолики? А то я дописал, а звуки пашут или труп.

 

[san007]

Сделал так:

Все - VRST,VRFT, VRRT,VRET просто испортил - дописал в XML нолики и всё, при записи полная тишина, никаких писков и всё работает, а если удалять VRST, VRRT, VRFT(+VRET) телефон труп.

Можно сделать намного быстрее и проще, притом без PPModd вообще.

 

Открываем PPM WinHex-ом, жмём F7, чтобы отображался только текст, далее жамаем CTRL+F и вбиваеи в поле поиска VRRT. WinHex выдаст вам приблизительно следующее. Как видим, здесь есть все 4 названия звуков диктофона - VRST, VRFT, VRRT, VRET. Идущие от них влево стрелки своим остриём упираются в символ который следует везде после букв яя. Вот этот символ мы и меняем в 4-х местах на точку для отключения звуков диктофона. Причем в разных PPM-ках после двух букв яя может стоять не цифра, а буква, двоеточие, точка с запятой и т.д. - не обращаем внимания и всё равно меняем на точку. Должно получиться вот так. Теперь закрываем WinHex и он предложит сохранить изменения в PPM. Вот и всё. На всю операцию по отключению звуков диктофона у меня ушло секунд 30. А PPModd мне бы только ппм-ку открывал 40 секунд для 6300 и 1,5 минуты для 6303, уже даже неговоря о времени потраченном на дальнейшие манипуляции.

[chivilyov]

Вот этот символ мы и меняем в 4-х местах на точку

На символ точки или всё-таки на ноль? А то я привык в таких случаях нули вставлять в HEX-значениях...

[san007]

На символ точки или всё-таки на ноль? А то я привык в таких случаях нули вставлять в HEX-значениях...

Ставлю после букв яя обыкновенную английскую точку (ту, что на клавише с буквой Ю).

Просто для меня в текстовом окне проще поставить одну точку, чем в хексовом окне два ноля.

Как удобней вам - это уже дело ваше.

 

[GLoom]

Просто для меня в текстовом окне проще поставить одну точку, чем в хексовом окне два ноля.

Но всетаки точка и ноль это немного разные вещи )

[infinity7]

Sid Meyer

Сделал так:

Все - VRST,VRFT, VRRT,VRET просто испортил - дописал в XML нолики и всё, при записи полная тишина, никаких писков и всё работает, а если удалять VRST, VRRT, VRFT(+VRET) телефон труп.

P.S. телефон 6300.

VRET НЕ ВЛИЯЕТ! удалял его и телефон не умер.. а вот VRFT - это смерть! а мона ваще просто дельнуть VRRT и VRST - все норм, а в конце не столь важно - разговор завершил и никаких писков и запись автоматом прекращается

 

PS как писали выше дело вкуса, ну впадлу мне с 16ричкой разбираццо.....

[Ramil_]

А никто случаем не пробовал удалять строку лэнгпака: "Блокировка клавиатуры включена"?

Что после этого следует, пустое сообщение (тока окно формируется) или следующее сочетание по порядку выводится, или вообще в резет уходит тел?