加密病毒新變種 解密需出動超級電腦

加密病毒新變種 解密需出動超級電腦

ZDNet記者馬培治／台北報導

2008/06/11 19:50:02
資安廠商卡巴斯基警告，兩年前一度造成危害的Gpcode加密病毒出現新的變種，採用更高階的加密技術，而快速解密、還原檔案的方法，則還沒被找到。
卡巴斯基是在上週(6/4)發現了名為Gpcode病毒的最新變種，該病毒又被稱作「勒索病毒」，兩年前被發現時，即具有會自動在受感染電腦上尋找特定檔案並進行加密的行為，還會跳出對話框告知使用者檔案已被加密，並要求付款才會提供解密程式，當時病毒作者便已採用660-bit金鑰進行檔案加密，不過此次出現的新變種採用更高階的RSA 1024-bit加密金鑰，「若沒有原始的金鑰，幾乎不可能反解，」推出該技術的RSA北亞區技術顧問黃惠美說。

事實上，即便是要破解660-bit的金鑰都不是件容易事。根據卡巴斯基估計，破解舊款病毒的660-bit金鑰，得耗去一部配備2.2 GHz處理器的電腦30年的時間才可能達成，而兩年前Gpcode之所以能被破解，靠的是病毒作者在運用加密演算法時的錯誤，才讓病毒分析師找到漏洞，不過在此次的新變種上，卡巴斯基還未發現病毒的寫作漏洞。

「我們估計這個任務（反解該病毒的RSA 1024-bit的金鑰）得耗去約一千五百萬台電腦一整年的時間，」卡巴斯基資深病毒分析師Aleks Gostev在資安部落格上表示。

事實上，此次被Gpcode病毒作者利用的RSA加密技術，其實被廣泛應用在各類型的電子簽章，例如網路銀行交易時用來進行身份確認或傳輸資料加密之用，在全球都有大量用戶，但原為安全目的開發的加密演算法卻被駭客拿來設計成勒索病毒，黃惠美對此表示，盜版氾濫，很難完全掌握所有產品的去向，亦坦言若無法取得原始的金鑰，很難將被加密的檔案還原。

所幸主要資安業者如趨勢科技、McAfee、賽門鐵克及卡巴斯基等，都已陸續發現該變種，並在病毒碼中加入特徵檔，因此各資安業者都未有變種Gpcode發生大規模感染的報告。

不過能抓到病毒並不代表能救回已受害用戶的檔案。卡巴斯基便成立了線上論壇，號召解碼專家、資安同業與各國政府，共同尋找解決之道。而對於類似病毒行為，黃惠美則建議用戶平常即應針對重要的檔案定期備份，以確保在遭受攻擊後仍能有檔案可用。

http://www.zdnet.com.tw/news/software/0,2000085678,20129979,00.htm