文/郑先伟

比特币敲诈病毒存绕过缺陷

文/郑先伟

10月教育网运行平稳，未发现影响严重的安全事件。

因为学校对安全重视程度的提升，越来越多的安全事件会被直接反馈到学校，CCERT这边收到的投诉数量逐月呈大幅下降趋势。

近段时间比特币敲诈病毒的版本层出不穷，已经有国内人员编写的敲诈病毒在互联网上流行。多数的敲诈者病毒都是通过木马程序的形式欺骗用户点击来运行，因此用户要特别小心邮件附件以及网络上下载的来历不明的文件，不要轻易点击运行。一旦用户被相关病毒感染，系统上重要文件就会被非对称秘钥算法给加密起来，除非你按要求付给编写者相应的比特币赎金，否则无法解密。不过最近国内的反病毒厂商对一些国产版的敲诈病毒样本进行分析后发现，某些版本在实现过程中存在可被绕过的缺陷，受害者即使不支付赎金也有可能获得解密的秘钥。因次用户一旦被敲诈者病毒感染，第一时间可以尝试联系专业的反病毒公司，看是否有解密的办法而不是马上就去支付赎金。

10月需要关注的漏洞有如下这些：

1. 微软10月份的例行安全公告公告共10个，其中5个为严重等级，4个为重要等级，1个为中等等级。这个公告共修补了包括Windows系统、Office软件、IE浏览器、EDGE浏览器、.NET Framework、Lync、Skype for Business、Web Apps和Adobe Flash Player中存在的36个安全漏洞。用户应该尽快使用系统的自动更新功能进行更新。公告的详情请参见：http://technet.microsoft.com/zh-cn/ library/security/ms16-oct.aspx

2. Adobe公司10月份发布了两个（APSB16-32和APSB16-33）安全公告，这两个公告分别修补了Adobe Flash player及Adobe Acrobat/Reader软件中的多个安全漏洞，其中与Flash player有关的漏洞12个，与Acrobat／Reader有关的漏洞70个。由于PDF软件的漏洞被利用频率很高，用户应该尽快检查自己的PDF阅读软件是否存在漏洞，并根据自己系统上软件安装情况进行升级。需要提醒的是，破解版Adboe Acrobat／Reader软件同样受漏洞影响，但是却没办法升级，用户需要衡量风险后再决定是否弃用破解版。两个公告的详细信息请参见：

https://helpx.adobe.com/security/ products/flash-player/apsb16-32.html

https://helpx.adobe.com/security/ products/acrobat/apsb16-33.html

3. ISC BIND9软件存在远程拒绝服务攻击漏洞，攻击者向使用BIND9作为服务程序的DNS服务器发送特定的查询数据，可能导致BIND 9程序的buffer.c发生断言错误，从而导致BIND9的主程序崩溃。这个漏洞影响所有使用BIND9的DNS服务器，不管是递归还是权威服务器。漏洞的编号为CVE-2016-2776。目前攻击代码已经在网络上发布，ISC也已经在新版本中修补了这个漏洞，其他的Linux系统也都发布了相应的补丁程序，管理员只需及时更新自己的BIND9版本就能防止这些漏洞。漏洞的详细信息请参见：https:// kb.isc.org/article/AA-01419/0

2016年9月～10月安全投诉事件统计

安全提示

此次BIND9的漏洞影响的范围较广，几乎对现有的使用BIND9作为服务程序的DNS服务器都有影响。建议DNS服务器的管理员要重视该漏洞带来的风险，第一时间对服务程序进行升级。目前各Linux系统版本的升级更新都已经较为完善，系统的自动更新功能就可以对系统自带的BIND软件进行更新。但是如果你的BIND9是自己手动下载安装，则需要你自己手动下载安装进行版本更新。

（作者单位为中国教育和科研计算机网应急响应组）