金山毒霸安全實驗室近日注意到有多個勒索病毒樣本成功繞過數款殺毒軟體的防禦系統, 病毒隨後加密了中毒電腦的硬碟檔, 給使用者造成重大損失。 工程師分析發現, 這些安全軟體針對勒索病毒的多層防線被繞過, 其原因是病毒使用了Comodo公司的數位簽章。
圖1 勒索病毒檔使用了Comodo公司的數位簽章
圖2 中毒電腦檔桌面彈出被勒索比特幣的介面
當一個應用程式擁有正規的數位簽章時,
1.申請數位簽章的組織管理不善, 致使數位簽章被盜用;
2.有開發者申請到數位簽章後隨意轉租給其他人使用;
3.發放簽名的機構未能盡到審核職責, 使簽名的申請發放不夠嚴格, 將簽名發放給惡意軟體發展者
數位簽章被濫用的後果可能是災難性的:儘管安全軟體採取了多層安全防護體系, 殺毒軟體往往會因為提高性能的原因, 采有白名單機制, 擁有數位簽章的應用程式容易被殺毒軟體信任。 從而在安全檢測過程中,
金山毒霸安全實驗室可以查殺這批使用Comodo數位簽章的勒索病毒, 使用者試圖運行這些程式時, 金山毒霸及時攔截。 但遺憾的是, 如果用戶已經中毒, 被加密的檔只能靠備份來還原。 病毒目前使用高強度的加密, 在沒有金鑰的情況下, 解密被認為是不可能完成的任務。