Hjælp søges til at knække krypteringsnøgle

Computerworld News Service: Kaspersky Lab, et russisk antivirusfirma, bad om assistance, da man opdagede en ny variant af Gpcode - en trojansk hest der har været brugt til isolerede ransomware-angreb de seneste to år.

Ved ransomware-angreb planter hackere malware, der krypterer filer og derefter viser en meddelelse, der kræver penge for at frigøre dataene.

I det seneste tilfælde af Gpcode blev 143 forskellige filtyper krypteret, herunder .bak, .doc, .jpg og .pdf.

De krypterede filer får tilføjet '_CRYPT' til deres navn, og de originale ukrypterede filer slettes. For at camouflere handlingen forsøger Gpcode også at slette sig selv.

Endelig kommer der en meddelelse frem på skærmen: 'Your files are encrypted with RSA-1024 algorithm. To recovery [sic] your files you need to buy our decryptor. To buy decrypting tool contact us at xxxx@yahoo.com'.

Mangler den private nøgle
Sidste torsdag udtalte en analytiker fra Kaspersky, at selv om virksomheden har analyseret prøver af Gpcode, har det ikke været muligt at dekryptere de filer, malwaren indkodede.

"På nuværende tidspunkt kan vi ikke dekryptere filer, der er krypteret af Gpcode.ak," skrev analytikeren i et indlæg på virksomhedens blog.

"RSA-krypteringen der er implementeret i malwaren bruger en meget stærk 1024-bit nøgle."

Ifølge Kasperskys meddelelse er nøglen udviklet ved hjælp af Windows' indbyggede komponent Enhanced Cryptographic Provider.

Kaspersky har den offentlige nøgle, som er inkluderet i den trojanske hests kode, men ikke den tilknyttede private nøgle, der er nødvendig for at frigøre det krypterede filer.

To dage senere bad en anden analytiker fra Kaspersky om hjælp.

Beder alle om hjælp
"Sammen med antivirusfirmaer over hele verden er det vores opgave at knække RSA 1024-bit nøglen," skrev analytiker Aleks Godtev i et indlæg.

"Det er en stor udfordring. Vi mener, at det vil kræve omkring 15 millioner modem-computere, der kører i et år, at knække en nøgle som denne," lyder det fra analytikeren.

"Så nu beder vi kryptografer, statslige - og videnskabelige institutioner, anivirus-firmaer, uafhængige forskere, om at hjælpe os med at sætte en stopper for Gpcode," skrev Aleks Gostev.

Men en bulgarsk forsker tog afstand fra råbet om hjælp. Vesselin Bontchev fra anitvirus-firmaet Frisk Software kalder det et 'stunt' i sit indlæg på Kasperskys support forum.

"Det, man foreslår, er urealistisk, ubrugeligt og spild af tid, og der er ingen sandsynlighed for, at det vil lykkes," skriver Vesselin Bontchev, som også mener, at Kasperskys vurdering af, hvor lang tid det vil tage at knække koden er alt for optimistisk.

"Det eneste, der kommer ud af projektet, er gratis presseomtale for Kaspersky."

En medarbejder fra Kaspersky svarede og takkede Vesselin Bontchev for hans holdning, men lukkede så samtalen.

Oversat af Mille Bindslev