[轉錄][資訊] 卡巴斯基發佈具危險性的新型勒索病毒警報
※ [本文轉錄自 share 看板]
作者: kage123 (@@) 看板: share
標題: [資訊] 卡巴斯基發佈具危險性的新型勒索病毒警報
時間: Tue Jun 10 15:48:59 2008
卡巴斯基發佈具危險性的新型勒索病毒警報
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
資訊安全解決方案領導大廠卡巴斯基發出警報,發現了一個經過加密並具有危險性的勒索
病毒,Gpcode 的新變種─Virus.Win32.Gpcode.ak.。
Gpcode.ak重重加密成包括.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h以及更多使
用RSA加密成1024位元的檔案。而卡巴斯基也已經在 2008年6月4日增加了
Virus.Win32.Gpcode.ak的防毒特徵碼。
卡巴斯基實驗室成功的阻擋了以前 Gpcode 的變種,在仔細的分析這些加密過的檔案之後
,卡巴斯基病毒分析師即可破解私人金鑰。
卡巴斯基實驗室病毒分析師必須經過精密RSA演算來進行分析破解超過660位元的金鑰。要
完成這個工作,若採用一部 2.2 GHz的處理器的電腦則需花 30年的時間來破解一個660位
元的金鑰。而Gpcode的發起者已經花了兩年的時間加強這個病毒:從前的失誤已經被修復
,而金鑰也已經從原本的660位元加長至1024位元。
目前金鑰為1024位元,目前卡巴斯基的病毒分析專家尚無法將已經被 Gpcode.ak加密的檔
案作解密,我們尚未發現這個病毒其中任何的失誤。因此,唯一的解密方法就是使用病毒
作者的私人的金鑰將加密過的檔案解開。
Gpcode.ak在感染的電腦中的檔案做加密並且檔案的副檔名後加上._CRYPT作為被加密檔案
的標示,接著建立一個命名為「READ ME!.txt」的文字檔並在同一個資料夾裡。在這個文
字檔中,犯罪者告訴這些受害者,這個檔案已經過加密並企圖銷售他們的解密檔。
感染會出現以下畫面:
http://orzhd.com/sinwen/5695bf9bdec7_FC94/clip_image001.gif
你的檔案已經經過RSA-1024演算加密
如欲取得你的檔案,你需要購買我們的解密檔
購買解密工具請聯絡我們:********@yahoo.com
在這次的案例當中,我們建議這些受害者試著使用其他電腦連結上網並與我們聯繫。千萬
不要重新啟動或關閉可能已經受感染的機器。並利用卡巴斯基信箱這個專案聯繫帳號與我
們連繫:stopqcode@kaspersky.com
郵件內文請包含以下訊息:時間與日期、在電腦感染前五分鐘內所執行的任何動作,包括
應用程式執行以及瀏覽過的網頁。卡巴斯基實驗室將試著幫助挽救您這些被加密的資料。
卡巴斯基實驗室分析師正在不斷的分析病毒程式碼,並試圖尋找一個方法,在不需要擁有
私人金鑰的情況下解開這個加密的檔案。同時,我們建議所有使用者將他們的防惡意程式
解決方案設定至最高安全標準,當瀏覽網站及收發郵件時更謹慎小心。最後,如果上述的
這些訊息出現在你的電腦時,在執行這些動作之前,請立即與我們聯繫。
我們強烈建議已受感染的使用者不要屈服於這些勒索的黑函,而應該與我們或當地的網路
犯罪單位聯繫。
http://sinwen.com/?p=1932
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 123.204.34.108
※ linan:轉錄至看板 TTU-I91A 06/10 16:20
推
06/10 18:35,
06/10 18:35
推
06/10 20:32,
06/10 20:32
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.169.59.26
→
06/10 22:36, , 1F
06/10 22:36, 1F
推
06/12 07:36, , 2F
06/12 07:36, 2F