卡巴斯基近日宣布启动名为“Stop Gpcode”的全球主动对抗敲诈病毒计划,此次主动防御的目标是破解病毒Virus.Win32.Gpcode.ak中运用的RSA1024位密钥。
近日,卡巴斯基实验室宣布启动名为“Stop Gpcode”的全球主动对抗敲诈病毒计划,此次主动防御的目标是破解病毒Virus.Win32.Gpcode.ak中运用的RSA1024位密钥,该病毒是危险的敲诈病毒——Gpcode的最新版本。Virus.Win32.Gpcode.ak的特征码已于2008年6月4日添加到卡巴斯基实验室反病毒数据库中。
据悉,Virus.Win32.Gpcode.ak是Gpcode病毒的一个新变种。不同版本的Gpcode病毒能够使用不同密钥长度的RSA强加密算法加密用户各种类型的文件(如:.doc、.txt、.pdf、.xls、.jpg、.png、.cpp、.h等)。一旦在计算机中加密文件以后,病毒会自动生成一条信息通知用户文件已被加密,并要求用户付款购买解密程序。而新衍生的Gpcode.ak使用了1024位的RSA加密算法拉进行加密,能够在受害的设备中加密文件后会添加一个._CRYPT的扩展名,同时在同一个文件夹中放置一个名为!_READ_ME_!.txt的文本文件。打开该文本后,犯罪分子会告诉受害者文件已被加密并向其兜售解码器。如图:
目前,被Gpcode.ak加密的文件还不能被解密,不仅由于其密码的位数增至1024位还因为在其文件的执行中未找到任何差错。因此,就目前的情况来看,解密这些加密文件的唯一办法就是使用只有编写者才有的的私钥。据估计,如果加密算法正确执行,一台具有2.2 Ghz处理器的PC机需要用上大约30年的时间来破解一个660位的密钥。Gpcode的编写者花了两年的时间来改进此病毒:之前的差错得以修补,并且将密码的位数从660位增加至1024位。
卡巴斯基实验室的病毒分析师们通过深入的密钥分析,能够对该类病毒使用的私钥进行破解,使得卡巴斯基实验室成功地发现并防御了Gpcode的各类早期变种。到目前为止,卡巴斯基实验室的病毒研究员已经能够破解长达660位的密钥。然而,该病毒的新版本Virus.Win32.Gpcode.ak采用了一个1024位的密钥。而破解RSA1024位的密钥是一个极其复杂的密码学问题。
卡巴斯基实验室诚邀各位密码学专家、政府研究机构、研究所、其他反病毒厂商以及独立研究人员一起努力来解决这个问题。卡巴斯基实验室已经做好准备为愿意参加到“Stop Gpcode”计划中来的各位专家提供有关处理情况的额外信息,并展开开放式的对话。实验室已拥有关于此病毒的充分信息来帮助各位专家展开破解RSA密钥的工作。
最新评论