近月,有一款專門針對Linux伺服器的勒索軟件病毒肆虐,若伺服器不幸被入侵,電腦內的所有內容會慘被加密,所有文件不能打開。最近防毒軟件公司Bitdefender發現該勒索軟件原來有漏洞,受害人可使用該公司特製的解密軟件把文件還原,毋須繳付贖金,一樣可以把被加密的文件還原。
Bitdefender發現,該款名為Linux.Encoder.1的勒索軟件,使用系統時間來進行加密,因此文件被加密後,文件上的檔案生成時間便是線索,可用來推算出加密所用的密鑰。理論上,加密時需要使用隨機數(Random Number)來製作密鑰。若加密時使用質量好的隨機數,加密後便不易被破解。然而,電腦往往難以自動生成一個真正隨機數的數值,較常用的方法是使用系統時間,再反覆計算而變成一串字符;如果加密時所用的隨機數不夠隨機,加密便較容易被破解。
今次黑客在勒索軟件上所用的加密方法,正是使用系統時間來生成隨機數,因此只須檢查檔案的生成時間,便有機會把加密的文件破解還原。Bitdefender發現了這個漏洞後,特地編寫了一套解密軟件,協助受害者。
不過,該勒索軟件還有另一個問題,就是加密前沒有檢查系統是否已經中過病毒。如果電腦已經被病毒加密了一次,之後再遇到勒索軟件攻擊,會把已加密的文件再加密一次!若系統被攻擊兩次或以上,雙重加密以後,即使用上述的解密軟件,也無能為力。
電郵:ray@openrice.com