Как защитить свои файлы от Gpcode?

Не так давно появилась новая вредоносная программа Virus.Win32.Gpcode.ak, шифрующая большинство типов файлов, таких как DOC, TXT, PDF, XLS, JPG и т.п., на зараженном компьютере пользователя ключом RSA длиной 1024 бит. Для того, чтобы взломать такой ключ может потребоваться не одна жизнь. Злоумышленники же предлагают более легкий путь. Достаточно заплатить злоумышленнику 300 долларов с помощью системы интернет-платежей, и пострадавшему помогут восстановить все испорченные файлы.

Два года назад другая версия этого вируса уже наделала много проблем. Тот вирус тоже шифровал все найденные на компьютере пользователя файлы. Однако, ключ был значительно короче. Но и тогда расшифровать файлы самостоятельно было практически невозможно. Самая большая длина ключа, который смогли взломать спецы из «Лаборатории Касперского», была 660 бит. При этом были задействованы огромные вычислительные мощности. Подобрать же ключ длиной 1024 бита представляется практически нереальным.

По мнению генерального директора компании StarForce Technologies Михаила Калиниченко, данная вирусная атака является целевой, и известно о ней стало случайно. Целью этой атаки могли быть крупные корпорации, которые ради сохранения данных всей компании могли бы заплатить гораздо больший выкуп – не 300, а, например, 300 тысяч долларов. Михаил Калиниченко видит один из выходов в блокировке вирусной программы с помощью поведенческого анализа и контроля за программами в корпоративной среде.

Директор по развитию бизнеса российского представительства BitDefender Дмитрий Попович предупреждает, что только лишь один антивирус не способен защитить от данного вида атак. Он справедливо замечает, что обновления антивирусных баз всегда выходят с опозданием, уже после того, как вирус заражает множество компьютеров. Поэтому ни один антивирус не способен обеспечить защиту компьютера на 100%. Даже те антивирусы, которые используют проактивные методы детектирования, не могут исключить вероятность заражения, хотя и несколько снижают ее.

Как же все-таки решать эту проблему? Ведь ни у какой лаборатории или центра обработки данных не хватит мощностей для вычисления такого длинного ключа. Интересную идею предложили специалисты «Лаборатории Касперского». Они решили привлечь к расшифровке ключа Gpcode всех, кто может быть в этом заинтересован – не только специалистов по борьбе с вирусами, но и обычных пользователей, стремящихся защитить свои компьютеры от возможных атак. Для этого была создана международная вычислительная сеть «Stop Gpcode». Организаторы «Stop Gpcode» рассчитывали на то, что обеспокоенные опасным вирусом Virus.Win32.Gpcode.ak пользователи общими усилиями смогут расшифровать хитроумный ключ. Однако, на самом деле многие пользователи были не очень-то и обеспокоены и не проявили ожидаемой заинтересованности, так как эпидемия Virus.Win32.Gpcode.ak находится еще в средней стадии, и о массовом заражении вирусом говорить еще рано.

Обеспокоенный таким легкомысленным отношением к проблеме Виталий Камлюк, старший вирусный аналитик «Лаборатории Касперского» предупреждает, что опасность Gpcode гораздо более серьезная, чем многие считают. По его мнению, многие антивирусные лаборатории считают этот вирус малораспространенным только потому, что он им еще не попадался. Однако, они недооценивают ущерб, который может нанести эта вредоносная программа. В данной ситуации наибольшую опасность представляет появляющийся у многих пользователей соблазн просто заплатить злоумышленнику ради восстановления поврежденных файлов. Такую возможность быстрой и легкой наживы не упустят и другие создатели вирусов. Если эта идея распространится среди настоящих и будущих вирусописателей, то Всемирная Сеть рухнет под напором атак тысяч модификаций Gpcode. По словам Виталия Камлюка, именно для того, чтобы избежать такой масштабной катастрофы «Лаборатория Касперского» проявила инициативу по созданию «Stop Gpcode». Виталий Камлюк также считает, что нельзя недооценивать не только возможную будущую, но и настоящую угрозу от распространения Virus.Win32.Gpcode.ak. По сведениям специалистов лаборатории, атакам вируса Gpcode подверглось уже большое количество компьютеров во всех странах мира.

Многие специалисты по борьбе с вирусами восприняли инициативу «Stop Gpcode» довольно негативно. Например, Кирилл Северцев, PR-менеджер российского представительства компании BitDefender заявил, что каждая антивирусная компания должна быть в состоянии самостоятельно решать подобную проблему. По его мнению, антивирусным лабораториям не следует привлекать обычных пользователей для решения задач такого рода. Еще более резко выразился Дмитрий Попович, назвав идею «Stop Gpcode» безумной. Он заявил, что антивирусные лаборатории вообще не должны заниматься взломом криптозащиты – это сфера деятельности компаний, предоставляющих услуги по восстановлению данных, не имеющие никакого отношения к антивирусам. По его мнению, антивирусные компании должны сконцентрироваться на создании таких продуктов, которые полностью избавят пользователей от необходимости взлома чего бы то ни было.

Однако, несколько дней поразмышляв, аналитики «Лаборатории Касперского» неожиданно нашли другое решение данной проблемы. Оказалось, что прежде, чем зашифровать файл, Virus.Win32.Gpcode.ak копирует его на жесткий диск. После шифрования файла, его незашифрованная копия автоматически удаляется. В случае обнаружения вируса пользователь должен, не перезагружая компьютер, с помощью специальной программы восстановить удаленные файлы. Можно воспользоваться утилитой, рекомендуемой «Лабораторией Касперского» – она распространяется по свободной лицензии. Дополнительно «Лабораторией Касперского» разработана специальная утилита для восстановления названий файлов и их местоположения.