Kaspersky zoekt hulp bij kraken gijzelvirus

Voor het kraken van het nieuwe encryptievirus Gpcode moeten dertig miljoen computers een jaar draaien. Kaspersky zoekt daarom hulp van beveiligingsexperts of -bedrijven die kunnen helpen het virus te kraken.

Beveiligingsbedrijf Kaspersky zoekt hulp bij het kraken van het gijzelingsvirus GPcode. Dit virus versleutelt bestanden met verschillende extensies door het gebruik van het RSA-encryptie algoritme met een 1024-bits sleutel. "Voor het kraken van de sleutel moeten dertig miljoen computers één jaar draaien", zegt Eddie Willems, beveiligingsexpert bij Kaspersky.

Kaspersky zoekt nu naar oplossingen om de industrie in te schakelen. "We hopen op hulp van de hele industrie. Het gaat dan om mensen die kennis van zaken hebben. Ook concurrenten kunnen zich hierbij aansluiten", zegt Willems. Het bedrijf is nog bezig in te vullen hoe een dergelijk initiatief op te zetten. Willems hoopt dat zo snel mogelijk een oplossing wordt gevonden voor het virus. Er is een grote kans dat meer van dergelijke virussen op de markt komen. "Als we, door de handen ineen te slaan, een initiatief voor handen hebben, dan maakt het makkelijker om dergelijke virussen aan te pakken", zegt Willems.

Anoniem melden

Bedrijven die de dupe zijn geworden van het virus, worden gevraagd zich te melden. Maar Willems begrijpt dat het voor bedrijven niet makkelijk is om dat te doen. Daarom kunnen gedupeerden zich anoniem melden bij Kaspersky.

Willems weet nog niet of er Nederlandse bedrijven gedupeerd zijn door het virus. "Er zijn wel een aantal Nederlandse bedrijven en particulieren die het virussen hebben gedetecteerd", zegt hij. Dit virus laat zien dat bedrijven en particulieren dergelijke infecties voor moeten blijven. Willems: "Het detecteren van dit soort virussen is essentieel. Je moet zorgen dat je de juiste beveiliging hebt. Achteraf valt er niets aan te doen."

Gpcode.ak

Gpcode.ak versleutelt bestanden met verschillende extensies door het gebruik van een RSA-encryptie-algoritme met een 1024-bits sleutel. Als het virus bestanden heeft versleuteld, verander het de extensie van deze bestanden naar._CRYPT en plaatst een tekstbestand !_READ_ME!.text in dezelfde map. In het tekstbestand wordt gezegd dat de bestanden versleuteld zijn en dat het slachtoffer moet betalen om de bestanden versleuteld te krijgen.

De schrijver van Gpcode heeft er twee jaar over gedaan om het virus te verbeteren. De voorgaande fouten zijn gecorrigeerd en de sleutel is verlengd tot 1024-bits in plaats van 660-bits.

R.Heinen, 09-06-2008 12:46

Een definitieve remedie om alle virussen (dus ook deze) te omzeilen is vrij simpel: Scheiding van de beveiligde functies (zoals Storage/Security) en de onbeveiligde functies (zoals de Communicatie functie). Als source informatie beveiligd moet worden dan mag deze op dat moment niet beschikbaar zijn voor onbeveiligde functies (zoals een communicatie functie) welke ook door ongeauthoriseerde derden misbruikt kan worden. Deze functies kunnen bijvoorbeeld gescheiden worden met Informatie-Theoretisch bewijsbare One-Way functies of door de beveiligde en onbeveiligde subsystemen fysiek te scheiden. Op de link http://picasaweb.google.com/freemovequantumexchange is een operationeel research systeem te vinden waarin deze functie scheiding zowel voor Computational security als Information-Theoretic (bewijsbaar veilige) security strikt is doorgevoerd.

Robert, 09-06-2008 13:16

Een goeie offline backup is belangrijk. Maar fysiek scheiden van Storage/security en onbeveiligde functies levert een onwerkbare situatie op. Hou wou je tekstbestand bewerken dan??

R.Heinen, 09-06-2008 13:48

@Robert

De beveiligde Storage/Security functies zijn hierboven als voorbeeld gegeven. Ook de processing functie kan natuurlijk beveiligd / fysiek gescheiden zijn van een onbeveiligd domein. Een firewall is een voorbeeld van een "sluisfunctie" om een beveiligd domein te scheiden van een onbeveiligde domein. Als deze scheiding formeel op een (Informatie-Theoretisch) te bewijzen of fysieke manier gebeurd dan is een aanval van met een virus op het beveiligde domein onmogelijk, omdat dit virus niet uitgevoerd kan worden in dit beveiligde domein. Een voorbeeld is de opslag van de One-Way Hash van een password op een onbeveiligde server. Een virus kan zo'n password nooit gijzelen door een aanval op deze onbeveiligde server omdat daar de source van het password niet aanwezig is. Als een server een password controleerd behoeven alleen de One-Way Hashes vergeleken te worden om te verifieren of een ingevoerd password correct is.

Robert, 09-06-2008 14:03

@ R.Heinen

Als je als gebruiker via een One-Way Hash v/e Password er bij kan dan kan een virus dat ook. (Keylogger bijvoorbeeld) Een gebruiker moet handelingen uitvoeren om een bepaalde actie te doen. Een virus kan dit na doen.

@Artikel

Als iedereen van zijn belangrijke bestanden een goeie offline backup heeft dan is de schade die zo'n virus kan maken al enorm ingeperkt.

R.Heinen, 09-06-2008 14:50

@Robert
In het onbeveiligde domein kan niemand bij de source van het password, dus een virus (in het onbeveiligde domein) ook niet. Voor de controle van de correctheid van het password in het onbeveiligde domein is dit echter ook niet nodig want alleen de One-Way Hashes dienen gelijk te zijn voor een correct password.

Robert, 09-06-2008 15:20

@R.Heinen

Maar kan de gebruiker dan wel een tekstbestand bewerken in het beveiligde domein?

Als ja: hoe kan het dat de gebruiker dit wel kan met een hash van een password en een virus dit niet kan nabootsen?

Als nee: een onwerkbare situatie.

@artikel:

Stelling:een virus dat bestanden met willekeurige data overschrijft of permanent verwijdert is net zo erg als een virus dat bestanden op deze manier encrypt.

R.Heinen, 09-06-2008 15:43

@Robert
In het beveiligde domein werkt de gebruiker gewoon met het source tekst bestand. Dit kan omdat een virus geen toegang heeft tot het beveiligde domein. Als bijvoorbeeld een password beveiligd moet worden dan wordt er een One-Way hash van uitgerekend in het beveiligde domein en vervolgens naar het onbeveiligde domein gestuurd. De onbeveiligde sources bevinden zich dus altijd in een beveiligd domein.

Pieter, 09-06-2008 19:04

@ R.Heinen

Wat een persoon kan, kan een virus ook.

Dunlock, 09-06-2008 19:10

Leuk hoor!
Als er nu even gezegd wordt, "hoe je het niet kan krijgen" dan schieten we er meer mee op.
Wat moeten we doen om ervoor te zorgen dat deze virus niet op de computer komt. Waardoor wordt het verspreid en wat moeten we vooral niet doen. Op die manier zal je een hoop mensen en bedrijven helpen in plaats van onderling over een handeling te praten na het ongeval.
Mvg. Fran

R.Heinen, 10-06-2008 9:21

@Pieter
Als het ontwerp van de FreeMove Quantum Exchange bekeken wordt ( http://picasaweb.google.com/freemovequantumexchange ) dan blijkt dat het onmogelijk is dat een virus uitgevoerd kan worden in het beveiligde domein. In het onbeveiligde domein kan een virus alleen een attack uitvoeren op de (onconditioneel) beveiligde data en niet op de source informatie. Gegeven deze twee randvoorwaarden is het voor een virus onmogelijk een attack uit te voeren op de FreeMove Quantum Exchange Source Informatie.

R.Heinen, 17-06-2008 12:54

Een oplossing voor systemen waar de source en het virus in hetzelfde onbeveiligde domein aanwezig zijn is te downloaden op de link
http://www.viruslist.com/en/viruses/encyclopedia?virusid=313444

Deze oplossing herstelt het source bestand nadat het source bestand is weggegooit door het virus. Het virus is dus niet slim genoeg ontworpen door bijvoorbeeld het source bestand te overschrijven met nutteloze data. Daardoor kan de weggegooide source hersteld worden.

security / Nieuws

Kaspersky Lab Benelux BV

Kaspersky zoekt hulp bij kraken gijzelvirus

Anoniem melden

Vul het gat tussen bedrijfsverwachtingen en IT-mogelijkheden

Computable Events - Security

Simpana geschikt voor de cloud

Transparante systeemtoegang voor 17.000 UWV-medewerkers

Kaspersky Benelux: 'We komen er hoe dan ook uit'

ISO 27001: cloudbeveiliging