※ [本文转录自 share 看板] 作者: kage123 (@@) 看板: share 标题: [资讯] 卡巴斯基发布具危险性的新型勒索病毒警报 时间: Tue Jun 10 15:48:59 2008 卡巴斯基发布具危险性的新型勒索病毒警报 =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= 资讯安全解决方案领导大厂卡巴斯基发出警报，发现了一个经过加密并具有危险性的勒索 病毒，Gpcode 的新变种─Virus.Win32.Gpcode.ak.。 Gpcode.ak重重加密成包括.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h以及更多使 用RSA加密成1024位元的档案。而卡巴斯基也已经在 2008年6月4日增加了 Virus.Win32.Gpcode.ak的防毒特徵码。 卡巴斯基实验室成功的阻挡了以前 Gpcode 的变种，在仔细的分析这些加密过的档案之後 ，卡巴斯基病毒分析师即可破解私人金钥。 卡巴斯基实验室病毒分析师必须经过精密RSA演算来进行分析破解超过660位元的金钥。要 完成这个工作，若采用一部 2.2 GHz的处理器的电脑则需花 30年的时间来破解一个660位 元的金钥。而Gpcode的发起者已经花了两年的时间加强这个病毒：从前的失误已经被修复 ，而金钥也已经从原本的660位元加长至1024位元。 目前金钥为1024位元，目前卡巴斯基的病毒分析专家尚无法将已经被 Gpcode.ak加密的档 案作解密，我们尚未发现这个病毒其中任何的失误。因此，唯一的解密方法就是使用病毒 作者的私人的金钥将加密过的档案解开。 Gpcode.ak在感染的电脑中的档案做加密并且档案的副档名後加上._CRYPT作为被加密档案 的标示，接着建立一个命名为「READ ME!.txt」的文字档并在同一个资料夹里。在这个文 字档中，犯罪者告诉这些受害者，这个档案已经过加密并企图销售他们的解密档。 感染会出现以下画面: http://orzhd.com/sinwen/5695bf9bdec7_FC94/clip_image001.gif 你的档案已经经过RSA-1024演算加密 如欲取得你的档案，你需要购买我们的解密档 购买解密工具请联络我们：********@yahoo.com 在这次的案例当中，我们建议这些受害者试着使用其他电脑连结上网并与我们联系。千万 不要重新启动或关闭可能已经受感染的机器。并利用卡巴斯基信箱这个专案联系帐号与我 们连系：[email protected] 邮件内文请包含以下讯息：时间与日期、在电脑感染前五分钟内所执行的任何动作，包括 应用程式执行以及浏览过的网页。卡巴斯基实验室将试着帮助挽救您这些被加密的资料。 卡巴斯基实验室分析师正在不断的分析病毒程式码，并试图寻找一个方法，在不需要拥有 私人金钥的情况下解开这个加密的档案。同时，我们建议所有使用者将他们的防恶意程式 解决方案设定至最高安全标准，当浏览网站及收发邮件时更谨慎小心。最後，如果上述的 这些讯息出现在你的电脑时，在执行这些动作之前，请立即与我们联系。 我们强烈建议已受感染的使用者不要屈服於这些勒索的黑函，而应该与我们或当地的网路 犯罪单位联系。 http://sinwen.com/?p=1932 =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 123.204.34.108 ※ linan:转录至看板 TTU-I91A 06/10 16:20 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.169.59.26