金山毒霸安全實驗室近日注意到有多個勒索病毒樣本成功繞過數款殺毒軟件的防御系統，病毒隨后加密了中毒電腦的硬盤文件，給用戶造成重大損失。工程師分析發現，這些安全軟件針對勒索病毒的多層防線被繞過，其原因是病毒使用了Comodo公司的數字簽名。

　　圖1 勒索病毒文件使用了Comodo公司的數字簽名

　　圖2 中毒電腦文件桌面彈出被勒索比特幣的界面

當一個應用程序擁有正規的數字簽名時，表示這個程序在發布過程中未被篡改，殺毒軟件往往也會認為擁有正規數字簽名的軟件是安全可信的。但近年來，發生過多起病毒木馬程序也擁有正規數字簽名的情況發生，其原因可能是：

1.申請數字簽名的組織管理不善，致使數字簽名被盜用；

2.有開發者申請到數字簽名后隨意轉租給其他人使用；

3.發放簽名的機構未能盡到審核職責，使簽名的申請發放不夠嚴格，將簽名發放給惡意軟件開發者

數字簽名被濫用的后果可能是災難性的：盡管安全軟件采取了多層安全防護體系，殺毒軟件往往會因為提高性能的原因，采有白名單機制，擁有數字簽名的應用程序容易被殺毒軟件信任。從而在安全檢測過程中，被放行。

金山毒霸安全實驗室可以查殺這批使用Comodo數字簽名的勒索病毒，用戶試圖運行這些程序時，金山毒霸及時攔截。但遺憾的是，如果用戶已經中毒，被加密的文件只能靠備份來還原。病毒目前使用高強度的加密，在沒有密鑰的情況下，解密被認為是不可能完成的任務。