金山毒霸安全實驗室近日注意到有多個勒索病毒樣本成功繞過數(shù)款殺毒軟件的防御系統(tǒng)，病毒隨后加密了中毒電腦的硬盤文件，給用戶造成重大損失。工程師分析發(fā)現(xiàn)，這些安全軟件針對勒索病毒的多層防線被繞過，其原因是病毒使用了Comodo公司的數(shù)字簽名。

　　圖1 勒索病毒文件使用了Comodo公司的數(shù)字簽名

　　圖2 中毒電腦文件桌面彈出被勒索比特幣的界面

當一個應(yīng)用程序擁有正規(guī)的數(shù)字簽名時，表示這個程序在發(fā)布過程中未被篡改，殺毒軟件往往也會認為擁有正規(guī)數(shù)字簽名的軟件是安全可信的。但近年來，發(fā)生過多起病毒木馬程序也擁有正規(guī)數(shù)字簽名的情況發(fā)生，其原因可能是：

1.申請數(shù)字簽名的組織管理不善，致使數(shù)字簽名被盜用；

2.有開發(fā)者申請到數(shù)字簽名后隨意轉(zhuǎn)租給其他人使用；

3.發(fā)放簽名的機構(gòu)未能盡到審核職責(zé)，使簽名的申請發(fā)放不夠嚴格，將簽名發(fā)放給惡意軟件開發(fā)者

數(shù)字簽名被濫用的后果可能是災(zāi)難性的：盡管安全軟件采取了多層安全防護體系，殺毒軟件往往會因為提高性能的原因，采有白名單機制，擁有數(shù)字簽名的應(yīng)用程序容易被殺毒軟件信任。從而在安全檢測過程中，被放行。

金山毒霸安全實驗室可以查殺這批使用Comodo數(shù)字簽名的勒索病毒，用戶試圖運行這些程序時，金山毒霸及時攔截。但遺憾的是，如果用戶已經(jīng)中毒，被加密的文件只能靠備份來還原。病毒目前使用高強度的加密，在沒有密鑰的情況下，解密被認為是不可能完成的任務(wù)。