3月17日消息,一些安全公司星期四称,目前出现一种特洛伊木马程序,能够锁住用户计算机中的文件,然后索要赎金以恢复这些文件的访问。但是,至少有两家公司发现了释放文件所需的口令。
据TechWeb News网站报道,有些杀毒软件公司把这种特洛伊木马程序称作“Cryzip”,有些公司把它称作“Zippo.a”。这种特洛伊木马程序能够存档44种文件,包括微软的Word文件、PDC文件、.jpg图形文件和ZIP压缩文件等,然后用口令把这些文件保护起来并且删除原来的文件。
这时候,用户计算机上将留下一个勒索通知,大意是:不要设法搜索给你的信息加密的程序。那个程序在你的硬盘中根本就不存在。如果你对被加密的文件和信息感兴趣,请用电子支付的方式支付300美元现金。把这个事情报告给警察是没有用的,警察不知道口令。
然而,至少有两家安全公司发现了这种特洛伊木马程序加密文件的口令。这个口令是在这个特洛伊木马程序留下的一个DLL文件中发现的,没有加密。据杀毒软件公司Sophos和LURHQ称,这个口令是:C:Program FilesMicrosoft Visual StudioVC98。
LURHQ在其发表的Cryzip安全公告中称,由于这个字符串经常出现在用VC++ 6编辑的程序中,病毒作者以为发现这个DLL文件的人都会忽略这个口令。
Sophos公司的一位高级技术顾问Graham Cluley说,人们不必支付赎金。看起来这个病毒作者故意选择这种口令是企图欺骗分析人员,使分析人员以为这个字符串只是一个目录的路径。受害者使用这个口令用ZIP工具就可以释放被锁住的文件。
勒索赎金的攻击是很少见的。上一次发生这种攻击事件是在2005年5月。当时加州的一家安全公司发现了一种为加密的密钥索要200美元的特洛伊木马程序。(
