比特幣敲詐病毒存繞過(guò)缺陷

文/鄭先偉

比特幣敲詐病毒存繞過(guò)缺陷

文/鄭先偉

10月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

因?yàn)閷W(xué)校對(duì)安全重視程度的提升，越來(lái)越多的安全事件會(huì)被直接反饋到學(xué)校，CCERT這邊收到的投訴數(shù)量逐月呈大幅下降趨勢(shì)。

近段時(shí)間比特幣敲詐病毒的版本層出不窮，已經(jīng)有國(guó)內(nèi)人員編寫的敲詐病毒在互聯(lián)網(wǎng)上流行。多數(shù)的敲詐者病毒都是通過(guò)木馬程序的形式欺騙用戶點(diǎn)擊來(lái)運(yùn)行，因此用戶要特別小心郵件附件以及網(wǎng)絡(luò)上下載的來(lái)歷不明的文件，不要輕易點(diǎn)擊運(yùn)行。一旦用戶被相關(guān)病毒感染，系統(tǒng)上重要文件就會(huì)被非對(duì)稱秘鑰算法給加密起來(lái)，除非你按要求付給編寫者相應(yīng)的比特幣贖金，否則無(wú)法解密。不過(guò)最近國(guó)內(nèi)的反病毒廠商對(duì)一些國(guó)產(chǎn)版的敲詐病毒樣本進(jìn)行分析后發(fā)現(xiàn)，某些版本在實(shí)現(xiàn)過(guò)程中存在可被繞過(guò)的缺陷，受害者即使不支付贖金也有可能獲得解密的秘鑰。因次用戶一旦被敲詐者病毒感染，第一時(shí)間可以嘗試聯(lián)系專業(yè)的反病毒公司，看是否有解密的辦法而不是馬上就去支付贖金。

10月需要關(guān)注的漏洞有如下這些：

1. 微軟10月份的例行安全公告公告共10個(gè)，其中5個(gè)為嚴(yán)重等級(jí)，4個(gè)為重要等級(jí)，1個(gè)為中等等級(jí)。這個(gè)公告共修補(bǔ)了包括Windows系統(tǒng)、Office軟件、IE瀏覽器、EDGE瀏覽器、.NET Framework、Lync、Skype for Business、Web Apps和Adobe Flash Player中存在的36個(gè)安全漏洞。用戶應(yīng)該盡快使用系統(tǒng)的自動(dòng)更新功能進(jìn)行更新。公告的詳情請(qǐng)參見(jiàn)：http://technet.microsoft.com/zh-cn/ library/security/ms16-oct.aspx

2. Adobe公司10月份發(fā)布了兩個(gè)（APSB16-32和APSB16-33）安全公告，這兩個(gè)公告分別修補(bǔ)了Adobe Flash player及Adobe Acrobat/Reader軟件中的多個(gè)安全漏洞，其中與Flash player有關(guān)的漏洞12個(gè)，與Acrobat／Reader有關(guān)的漏洞70個(gè)。由于PDF軟件的漏洞被利用頻率很高，用戶應(yīng)該盡快檢查自己的PDF閱讀軟件是否存在漏洞，并根據(jù)自己系統(tǒng)上軟件安裝情況進(jìn)行升級(jí)。需要提醒的是，破解版Adboe Acrobat／Reader軟件同樣受漏洞影響，但是卻沒(méi)辦法升級(jí)，用戶需要衡量風(fēng)險(xiǎn)后再?zèng)Q定是否棄用破解版。兩個(gè)公告的詳細(xì)信息請(qǐng)參見(jiàn)：

https://helpx.adobe.com/security/ products/flash-player/apsb16-32.html

https://helpx.adobe.com/security/ products/acrobat/apsb16-33.html

3. ISC BIND9軟件存在遠(yuǎn)程拒絕服務(wù)攻擊漏洞，攻擊者向使用BIND9作為服務(wù)程序的DNS服務(wù)器發(fā)送特定的查詢數(shù)據(jù)，可能導(dǎo)致BIND 9程序的buffer.c發(fā)生斷言錯(cuò)誤，從而導(dǎo)致BIND9的主程序崩潰。這個(gè)漏洞影響所有使用BIND9的DNS服務(wù)器，不管是遞歸還是權(quán)威服務(wù)器。漏洞的編號(hào)為CVE-2016-2776。目前攻擊代碼已經(jīng)在網(wǎng)絡(luò)上發(fā)布，ISC也已經(jīng)在新版本中修補(bǔ)了這個(gè)漏洞，其他的Linux系統(tǒng)也都發(fā)布了相應(yīng)的補(bǔ)丁程序，管理員只需及時(shí)更新自己的BIND9版本就能防止這些漏洞。漏洞的詳細(xì)信息請(qǐng)參見(jiàn)：https:// kb.isc.org/article/AA-01419/0

2016年9月～10月安全投訴事件統(tǒng)計(jì)

安全提示

此次BIND9的漏洞影響的范圍較廣，幾乎對(duì)現(xiàn)有的使用BIND9作為服務(wù)程序的DNS服務(wù)器都有影響。建議DNS服務(wù)器的管理員要重視該漏洞帶來(lái)的風(fēng)險(xiǎn)，第一時(shí)間對(duì)服務(wù)程序進(jìn)行升級(jí)。目前各Linux系統(tǒng)版本的升級(jí)更新都已經(jīng)較為完善，系統(tǒng)的自動(dòng)更新功能就可以對(duì)系統(tǒng)自帶的BIND軟件進(jìn)行更新。但是如果你的BIND9是自己手動(dòng)下載安裝，則需要你自己手動(dòng)下載安裝進(jìn)行版本更新。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）