近日,卡巴斯基实验室宣布启动名为“Stop Gpcode”的全球主动对抗敲诈病毒计划,此次主动防御的目标是破解病毒Virus.Win32.Gpcode.ak中运用的RSA1024位密钥,该病毒是危险的敲诈病毒——Gpcode的最新版本。Virus.Win32.Gpcode.ak的特征码已于2008年6月4日添加到卡巴斯基实验室反病毒数据库中。
据悉,Virus.Win32.Gpcode.ak是Gpcode病毒的一个新变种。不同版本的Gpcode病毒能够使用不同密钥长度的RSA强加密算法加密用户各种类型的文件(如:.doc、.txt、.pdf、.xls、.jpg、.png、.cpp、.h等)。一旦在计算机中加密文件以后,病毒会自动生成一条信息通知用户文件已被加密,并要求用户付款购买解密程序。而新衍生的Gpcode.ak使用了1024位的RSA加密算法拉进行加密,能够在受害的设备中加密文件后会添加一个._CRYPT的扩展名,同时在同一个文件夹中放置一个名为!_READ_ME_!.txt的文本文件。打开该文本后,犯罪分子会告诉受害者文件已被加密并向其兜售解码器。如图:
您的文件已被RSA-1024算法加密。
欲恢复这些文件,您需要购买我们的解码器。
购买解码工具,请联系:********@yahoo.com
目前,被Gpcode.ak加密的文件还不能被解密,不仅由于其密码的位数增至1024位还因为在其文件的执行中未找到任何差错。因此,就目前的情况来看,解密这些加密文件的唯一办法就是使用只有编写者才有的的私钥。据估计,如果加密算法正确执行,一台具有2.2 Ghz处理器的PC机需要用上大约30年的时间来破解一个660位的密钥。Gpcode的编写者花了两年的时间来改进此病毒:之前的差错得以修补,并且将密码的位数从660位增加至1024位。
卡巴斯基实验室的病毒分析师们通过深入的密钥分析,能够对该类病毒使用的私钥进行破解,使得卡巴斯基实验室成功地发现并防御了Gpcode的各类早期变种。到目前为止,卡巴斯基实验室的病毒研究员已经能够破解长达660位的密钥。然而,该病毒的新版本Virus.Win32.Gpcode.ak采用了一个1024位的密钥。而破解RSA1024位的密钥是一个极其复杂的密码学问题。
卡巴斯基实验室诚邀各位密码学专家、政府研究机构、研究所、其他反病毒厂商以及独立研究人员一起努力来解决这个问题。卡巴斯基实验室已经做好准备为愿意参加到“Stop Gpcode”计划中来的各位专家提供有关处理情况的额外信息,并展开开放式的对话。实验室已拥有关于此病毒的充分信息来帮助各位专家展开破解RSA密钥的工作。
欲配合参与到此次活动的各位人士可以访问我们为此次活动专门创建的“Stop Gpcode”论坛,网址为:http://forum.kaspersky.com/index.php?showforum=90.
如果您的计算机遇到上述被感染的情况,我们建议您使用其他连接互联网的计算机联系我们。请记住不要重启或关闭疑似感染的设备。请将邮件发送stopgpcode@kaspersky.com,并请在邮件中列出以下信息:
感染的日期&时间
设备被感染前5分钟的所有操作,包括:执行过的程序、访问过的网站
卡巴斯基实验室会尽力帮助您恢复任何被加密的数据。
网友评论