Как сообщил изданию Techworld источник, близкий к следствию, автором
известного вируса,
поразившего компьютеры в июле, был один человек, и его имя известно властям.
Предполагается, что злоумышленник – русский по национальности, и что он
связывался, по крайней мере, с одной антивирусной компанией - Kaspersky Lab,
пытаясь продать программу для дешифровки закодированных вирусом файлов. Поначалу
там отнеслись к предложению с недоверием, однако позже, на основании целого ряда
улик, все-таки установили причастность этого человека к вирусу Gpcode, и,
возможно, к ряду других атак, совершенных в 2006 и 2007 году. Более того, автор
предоставил специалистам компании утилиту для декодирования, предназначенную для
расшифровки данных на одном компьютере.
128-битные ключи RC4, использованные для кодирования данных жертвы, уникальны
для каждого случая. Больше всего затруднило расшифровку данных то, что сам ключ,
в свою очередь, оказался зашифрован 1024-битным криптостойким открытым ключом
RSA, сгенерированным в паре с личным ключом автора вируса.
В "Лаборатории Касперского" начали выяснять местонахождение автора,
распутывая клубок IP-адресов промежуточных прокси-серверов, через которые он с
ними связался. Выяснилось что эти адреса принадлежат машинам, находящимся на
территории США, и входят в состав того же самого ботнета, при помощи которого
вирус Gpcode начал попадать на машины жертв.
Выяснение имен реальный владельцев этих компьютеров оказалось чрезвычайно
затруднительным, поскольку, например, поставщик услуг Yahoo отказался помогать
расследованию, сославшись на свою политику конфиденциальности. Тем не менее,
иностранная полиция и российские власти были проинформированы о ходе
расследования. Источник в "Лаборатории Касперского" подтвердил, что следственные
органы заинтересовались предоставленными материалами. На данный момент о
предпринимаемых властями действиях ничего не известно.
