近日,卡巴斯基實驗室宣佈啟動名為「Stop Gpcode」的全球主動對抗敲詐病毒計劃,此次主動防禦的目標是破解病毒Virus.Win32.Gpcode.ak中運用的RSA1024位密鑰,該 病毒是危險的敲詐病毒——Gpcode的最新版本。Virus.Win32.Gpcode.ak的特徵碼已於2008年6月4日添加到卡巴斯基實驗室反病毒資料庫中。
據悉,Virus.Win32.Gpcode.ak是Gpcode病毒的一個新變種。不同版本的Gpcode病毒能夠使用不同密鑰長度的RSA強加密算法加密用戶各種類型的文件(如:.doc、.txt、.pdf、.xls、.jpg、. png、.cpp、.h等)。一旦在電腦中加密文件以後,病毒會自動生成一條訊息通知用戶文件已被加密,並要求用戶付款購買解密程式。而新衍生的 Gpcode.ak使用了1024位的RSA加密算法拉進行加密,能夠在受害的電腦中加密文件後會添加一個._CRYPT的擴展名,同時在同一個文件夾中放置一個名為!_READ_ME_!.txt的文本文件。打開該文本後,犯罪分子會告訴受害者文件已被加密並向其兜售解碼器。
目前,被 Gpcode.ak加密的文件還不能被解密,不僅由於其密碼的位數增至1024位還因為在其文件的執行中未找到任何差錯。因此,就目前的情況來看,解密這些加密文件的唯一辦法就是使用只有編寫者才有的的私鑰。據估計,如果加密算法正確執行,一台具有2.2 Ghz處理器的PC機需要用上大約30年的時間來破解一個660位的密鑰。Gpcode的編寫者花了兩年的時間來改進此病毒:之前的差錯得以修補,並且將密碼的位數從660位增加至1024位。
卡巴斯基實驗室的病毒分析師們通過深入的密鑰分析,能夠對該類病毒使用的私鑰進行破解,使得卡巴斯基實驗室成功地發現並防禦了Gpcode的各類早期變種。到目前為止,卡巴斯基實驗室的病毒研究員已經能夠破解長達660位的密鑰。然而,該病毒的新版本Virus.Win32.Gpcode.ak採用了一個1024位的密鑰。而破解RSA1024位的密鑰是一個極其複雜的密碼學問題。
卡巴斯基實驗室誠邀各位密碼學專家、政府研究機構、研究所、其他反病毒廠商以及獨立研究人員一起努力來解決這個問題。卡巴斯基實驗室已經做好準備為願意參加到「Stop Gpcode」計劃中來的各位專家提供有關處理情況的額外訊息,並展開開放式的對話。實驗室已擁有關於此病毒的充分訊息來幫助各位專家展開破解RSA密鑰的工作。
欲配合參與到此次活動的各位人士可以開啟卡巴斯基為此次活動專門創建的「Stop Gpcode」論壇,網址為:http://forum.kaspersky.com/index.php?showforum=90。
如果您的電腦遇到上述被感染的情況,建議您使用其他連接網路的電腦聯繫卡巴斯基。請記住不要重啟或關閉疑似感染的電腦。請將郵件發送stopgpcode@kaspersky.com,並請在郵件中列出以下訊息:
1、感染的日期及時間。
2、電腦被感染前5分鐘的所有操作,包括:執行過的程式、開啟過的網站。
卡巴斯基實驗室會盡力幫助您恢復任何被加密的資料。
卡巴斯基徵集力量破解高加密敲詐病毒
隨機文章
訂閱:
張貼留言 (Atom)
0 意見:
張貼留言