CCERT 月报：比特币勒索病毒存在绕过漏洞

由于学校更加注重安全，越来越多的安全事件会直接反馈给学校，CCERT收到的投诉数量逐月增加且呈逐月下降趋势。

病毒和木马：

近年来，各种版本的比特币勒索病毒层出不穷，一些国内人员编写的勒索病毒在网络上走红。大多数勒索病毒都使用木马的形式来诱骗用户点击运行。因此，用户要特别注意从网上下载的邮件附件和来历不明的文件，不要轻易点击运行。一旦用户感染了相关病毒，系统上的重要文件将通过非对称密钥算法进行加密，除非您按要求向作者支付相应的比特币赎金，否则无法解密。不过，近期国内杀毒厂商分析了部分国内版本的勒索病毒样本，发现部分版本在执行过程中绕过了漏洞，受害者即使不支付赎金也可能获得解密密钥。用户一旦感染了勒索者的病毒，可以尝试尽快联系专业的杀毒公司，看看有没有解密的方法比特币敲诈，而不是马上支付赎金。

最近添加了严重的漏洞审查：

10月份需要注意的漏洞如下：

1.微软10月例行安全公告一共10条，其中5条严重，4条重要，1条中度。本公告共修复了 Windows、Office 软件、Internet Explorer、EDGE 浏览器、.NET Framework、Lync、Skype for Business、Web Apps 和 Adob​​e Flash Player 中的 36 个安全漏洞。用户应尽快使用系统的自动更新功能进行更新。可在以下位置找到公告的详细信息：

2.Adobe 在 10 月份发布了两个（APSB16-32 和 APSB16-33）安全公告），修补了 Adob​​e Flash player 和 Adob​​e Acrobat/Reader 软件中的多个安全漏洞，其中 12 个Flash player 相关漏洞和 Acrobat/Reader 相关漏洞 70 个。由于PDF软件的漏洞经常被利用，用户应尽快检查。检查您的PDF阅读软件是否存在漏洞，根据您系统上的软件安装进行升级。需要提醒的是，破解版的 Adboe Acrobat/Reader 软件也受到漏洞影响，但没有办法升级，用户需要衡量风险后再决定是否弃用破解版。两份公告详情请参考：

3.ISC BIND9 软件存在远程拒绝服务攻击漏洞。 BIND 9程序的查询数据可能会导致BIND 9程序的buffer.c中出现断言错误，从而导致BIND9的主程序崩溃。此漏洞影响所有使用 BIND9 的 DNS 服务器比特币敲诈，无论是递归的还是权威的。漏洞编号为CVE-2016-2776。目前，攻击代码已在网上发布，ISC也在新版本中对该漏洞进行了修补，其他linux系统也发布了相应的补丁。管理员只需要及时更新他们的 BIND9 版本，就可以防止这些漏洞。漏洞详情请参考：

安全提示：

BIND9漏洞影响范围广，几乎影响现有使用BIND9作为服务程序的DNS服务器建议DNS服务器管理员注意此漏洞带来的风险，升级服务程序尽快地。目前各个Linux系统版本的升级更新已经比较完善，系统的自动更新功能可以对内置的BIND软件进行更新。但是如果你的BIND9是手动下载安装的，需要手动下载安装才能更新版本。

（郑显伟作者单位为中国教育科研计算机网络应急组）