加密病毒新變種 解密需出動超級電腦
ZDNet記者馬培治╱台北報導 2008/06/11 19:50:02 資安廠商卡巴斯基警告,兩年前一度造成危害的Gpcode加密病毒出現新的變種,採用更高階的加密技術,而快速解密、還原檔案的方法,則還沒被找到。
卡巴斯基是在上週(6/4)發現了名為Gpcode病毒的最新變種,該病毒又被稱作「勒索病毒」,兩年前被發現時,即具有會自動在受感染電腦上尋找特定檔 案並進行加密的行為,還會跳出對話框告知使用者檔案已被加密,並要求付款才會提供解密程式,當時病毒作者便已採用660-bit金鑰進行檔案加密,不過此 次出現的新變種採用更高階的RSA 1024-bit加密金鑰,「若沒有原始的金鑰,幾乎不可能反解,」推出該技術的RSA北亞區技術顧問黃惠美說。
事實上,即便是要破解660-bit的金鑰都不是件容易事。根據卡巴斯基估計,破解舊款病毒的660-bit金鑰,得耗去一部配備2.2 GHz處理器的電腦30年的時間才可能達成,而兩年前Gpcode之所以能被破解,靠的是病毒作者在運用加密演算法時的錯誤,才讓病毒分析師找到漏洞,不 過在此次的新變種上,卡巴斯基還未發現病毒的寫作漏洞。
「我們估計這個任務(反解該病毒的RSA 1024-bit的金鑰)得耗去約一千五百萬台電腦一整年的時間,」卡巴斯基資深病毒分析師Aleks Gostev在資安部落格上表示。
事實上,此次被Gpcode病毒作者利用的RSA加密技術,其實被廣泛應用在各類型的電子簽章,例如網路銀行交易時用來進行身份確認或傳輸資料加密之用, 在全球都有大量用戶,但原為安全目的開發的加密演算法卻被駭客拿來設計成勒索病毒,黃惠美對此表示,盜版氾濫,很難完全掌握所有產品的去向,亦坦言若無法 取得原始的金鑰,很難將被加密的檔案還原。
所幸主要資安業者如趨勢科技、McAfee、賽門鐵克及卡巴斯基等,都已陸續發現該變種,並在病毒碼中加入特徵檔,因此各資安業者都未有變種Gpcode發生大規模感染的報告。
不過能抓到病毒並不代表能救回已受害用戶的檔案。卡巴斯基便成立了線上論壇,號召解碼專家、資安同業與各國政府,共同尋找解決之道。而對於類似病毒行為,黃惠美則建議用戶平常即應針對重要的檔案定期備份,以確保在遭受攻擊後仍能有檔案可用。
沒有留言:
張貼留言