【台北訊】資訊安全解決方案領導大廠卡巴斯基發出警報,發現了一個經過加密並具有危險性的勒索病毒,Gpcode 的新變種─Virus.Win32.Gpcode.ak.。
Gpcode.ak重重加密成包括.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h以及更多使用RSA加密成1024位元的檔案。而卡巴斯基也已經在 2008年6月4日增加了 Virus.Win32.Gpcode.ak的防毒特徵碼。
卡巴斯基實驗室成功的阻擋了以前 Gpcode 的變種,在仔細的分析這些加密過的檔案之後,卡巴斯基病毒分析師即可破解私人金鑰。
卡巴斯基實驗室病毒分析師必須經過精密RSA演算來進行分析破解超過660位元的金鑰。要完成這個工作,若採用一部 2.2 GHz的處理器的電腦則需花 30年的時間來破解一個660位元的金鑰。而Gpcode的發起者已經花了兩年的時間加強這個病毒:從前的失誤已經被修復,而金鑰也已經從原本的660位元加長至1024位元。
目前金鑰為1024位元,目前卡巴斯基的病毒分析專家尚無法將已經被 Gpcode.ak加密的檔案作解密,我們尚未發現這個病毒其中任何的失誤。因此,唯一的解密方法就是使用病毒作者的私人的金鑰將加密過的檔案解開。
Gpcode.ak在感染的電腦中的檔案做加密並且檔案的副檔名後加上._CRYPT作為被加密檔案的標示,接著建立一個命名為「READ ME!.txt」的文字檔並在同一個資料夾裡。在這個文字檔中,犯罪者告訴這些受害者,這個檔案已經過加密並企圖銷售他們的解密檔。
你的檔案已經經過RSA-1024演算加密
如欲取得你的檔案,你需要購買我們的解密檔
購買解密工具請聯絡我們:********@yahoo.com
在這次的案例當中,我們建議這些受害者試著使用其他電腦連結上網並與我們聯繫。千萬不要重新啟動或關閉可能已經受感染的機器。並利用卡巴斯基信箱這個專案聯繫帳號與我們連繫:stopqcode@kaspersky.com
郵件內文請包含以下訊息:時間與日期、在電腦感染前五分鍾內所執行的任何動作,包括應用程式執行以及瀏覽過的網頁。卡巴斯基實驗室將試著幫助挽救您這些被加密的資料。
卡巴斯基實驗室分析師正在不斷的分析病毒程式碼,並試圖尋找一個方法,在不需要擁有私人金鑰的情況下解開這個加密的檔案。同時,我們建議所有使用者將他們的防惡意程式解決方案設定至最高安全標準,當瀏覽網站及收發郵件時更謹慎小心。最後,如果上述的這些訊息出現在你的電腦時,在執行這些動作之前,請立即與我們聯繫。
我們強烈建議已受感染的使用者不要屈服於這些勒索的黑函,而應該與我們或當地的網路犯罪單位聯繫。
From:http://sinwen.com/?p=1932
請大家更新病毒碼、停用Foxy
超級猖獗的新病毒
沒有留言:
張貼留言