CCERT 月报：比特币勒索病毒存在绕过漏洞

由于学校更加注重安全，越来越多的安全事件会直接反馈给学校比特币勒索病毒邮件，CCERT收到的投诉数量逐月增加且呈逐月下降趋势。

病毒和木马：

近年来，比特币勒索病毒出现了多个版本，国内人员编写的勒索病毒在网络上风靡一时。大多数勒索病毒都是利用木马的形式来诱骗用户点击运行。因此，用户要特别注意从网上下载的邮件附件和来历不明的文件比特币勒索病毒邮件，不要轻易点击运行。一旦用户感染了相关病毒，系统上的重要文件将通过非对称密钥算法进行加密，除非您按要求向作者支付相应的比特币赎金，否则无法解密。不过，近期国内杀毒厂商对部分国内版本的勒索病毒样本进行分析，发现部分版本在执行过程中存在可绕过的漏洞，受害者即使不支付赎金也有可能获得解密密钥。用户一旦感染了勒索者的病毒，可以尝试尽快联系专业的杀毒公司，看看有没有解密的方法，而不是马上支付赎金。

最近添加的关键漏洞审查：

10月份需要注意的漏洞如下：

1.微软10月例行安全公告一共10条，其中5条严重，4条重要，1条中度。本公告共修复了 Windows、Office 软件、Internet Explorer、EDGE 浏览器、.NET Framework、Lync、Skype for Business、Web Apps 和 Adob​​e Flash Player 中的 36 个安全漏洞。用户应尽快使用系统的自动更新功能进行更新。可在以下位置找到公告的详细信息：

2.Adobe 在 10 月份发布了两个安全公告（APSB16-32 和 APSB16-33），修补了 Adob​​e Flash player 和 Adob​​e Acrobat/Reader 软件中的多个安全漏洞，其中 12 个漏洞Flash播放器相关漏洞和Acrobat/Reader相关漏洞70个，由于PDF软件漏洞被频繁利用，用户应尽快检查。检查您的PDF阅读软件是否存在漏洞，根据软件安装升级。需要提醒的是，破解版的 Adboe Acrobat/Reader 软件也存在漏洞，但没有办法升级，用户需要权衡风险后再决定是否弃用破解版。两个公告，请参考：

3.ISC BIND9 软件存在远程拒绝服务攻击漏洞。查询数据可能会导致BIND 9程序的buffer.c出现断言错误，导致BIND9主程序崩溃。此漏洞影响所有使用 BIND9 的 DNS 服务器，无论是递归的还是权威的。漏洞编号为CVE-2016-2776。目前，攻击代码已在网上发布，ISC也在新版本中对该漏洞进行了修补，其他linux系统也发布了相应的补丁。管理员只需要及时更新他们的 BIND9 版本，就可以防止这些漏洞。漏洞详情请参考：

安全提示：

BIND9漏洞影响范围广，几乎影响现有使用BIND9作为服务程序的DNS服务器建议DNS服务器管理员注意此漏洞带来的风险，升级服务程序尽快地。目前各个Linux系统版本的升级更新已经比较完善，系统的自动更新功能可以对内置的BIND软件进行更新。但是，如果您的 BIND9 是手动下载安装的，则需要手动下载安装才能更新版本。

（郑显伟作者单位为中国教育科研计算机网络应急组）