文/鄭先偉

比特幣敲詐病毒存繞過缺陷

文/鄭先偉

10月教育網(wǎng)運行平穩(wěn)，未發(fā)現(xiàn)影響嚴重的安全事件。

因為學校對安全重視程度的提升，越來越多的安全事件會被直接反饋到學校，CCERT這邊收到的投訴數(shù)量逐月呈大幅下降趨勢。

近段時間比特幣敲詐病毒的版本層出不窮，已經(jīng)有國內(nèi)人員編寫的敲詐病毒在互聯(lián)網(wǎng)上流行。多數(shù)的敲詐者病毒都是通過木馬程序的形式欺騙用戶點擊來運行，因此用戶要特別小心郵件附件以及網(wǎng)絡上下載的來歷不明的文件，不要輕易點擊運行。一旦用戶被相關病毒感染，系統(tǒng)上重要文件就會被非對稱秘鑰算法給加密起來，除非你按要求付給編寫者相應的比特幣贖金，否則無法解密。不過最近國內(nèi)的反病毒廠商對一些國產(chǎn)版的敲詐病毒樣本進行分析后發(fā)現(xiàn)，某些版本在實現(xiàn)過程中存在可被繞過的缺陷，受害者即使不支付贖金也有可能獲得解密的秘鑰。因次用戶一旦被敲詐者病毒感染，第一時間可以嘗試聯(lián)系專業(yè)的反病毒公司，看是否有解密的辦法而不是馬上就去支付贖金。

10月需要關注的漏洞有如下這些：

1. 微軟10月份的例行安全公告公告共10個，其中5個為嚴重等級，4個為重要等級，1個為中等等級。這個公告共修補了包括Windows系統(tǒng)、Office軟件、IE瀏覽器、EDGE瀏覽器、.NET Framework、Lync、Skype for Business、Web Apps和Adobe Flash Player中存在的36個安全漏洞。用戶應該盡快使用系統(tǒng)的自動更新功能進行更新。公告的詳情請參見：http://technet.microsoft.com/zh-cn/ library/security/ms16-oct.aspx

2. Adobe公司10月份發(fā)布了兩個（APSB16-32和APSB16-33）安全公告，這兩個公告分別修補了Adobe Flash player及Adobe Acrobat/Reader軟件中的多個安全漏洞，其中與Flash player有關的漏洞12個，與Acrobat／Reader有關的漏洞70個。由于PDF軟件的漏洞被利用頻率很高，用戶應該盡快檢查自己的PDF閱讀軟件是否存在漏洞，并根據(jù)自己系統(tǒng)上軟件安裝情況進行升級。需要提醒的是，破解版Adboe Acrobat／Reader軟件同樣受漏洞影響，但是卻沒辦法升級，用戶需要衡量風險后再決定是否棄用破解版。兩個公告的詳細信息請參見：

https://helpx.adobe.com/security/ products/flash-player/apsb16-32.html

https://helpx.adobe.com/security/ products/acrobat/apsb16-33.html

3. ISC BIND9軟件存在遠程拒絕服務攻擊漏洞，攻擊者向使用BIND9作為服務程序的DNS服務器發(fā)送特定的查詢數(shù)據(jù)，可能導致BIND 9程序的buffer.c發(fā)生斷言錯誤，從而導致BIND9的主程序崩潰。這個漏洞影響所有使用BIND9的DNS服務器，不管是遞歸還是權威服務器。漏洞的編號為CVE-2016-2776。目前攻擊代碼已經(jīng)在網(wǎng)絡上發(fā)布，ISC也已經(jīng)在新版本中修補了這個漏洞，其他的Linux系統(tǒng)也都發(fā)布了相應的補丁程序，管理員只需及時更新自己的BIND9版本就能防止這些漏洞。漏洞的詳細信息請參見：https:// kb.isc.org/article/AA-01419/0

2016年9月～10月安全投訴事件統(tǒng)計

安全提示

此次BIND9的漏洞影響的范圍較廣，幾乎對現(xiàn)有的使用BIND9作為服務程序的DNS服務器都有影響。建議DNS服務器的管理員要重視該漏洞帶來的風險，第一時間對服務程序進行升級。目前各Linux系統(tǒng)版本的升級更新都已經(jīng)較為完善，系統(tǒng)的自動更新功能就可以對系統(tǒng)自帶的BIND軟件進行更新。但是如果你的BIND9是自己手動下載安裝，則需要你自己手動下載安裝進行版本更新。

（作者單位為中國教育和科研計算機網(wǎng)應急響應組）