CCERT月报：比特币勒索病毒存在绕过漏洞

由于学校更加注重安全，越来越多的安全事故会直接向学校反映，CCERT收到的投诉量逐月呈急剧下降趋势。

病毒和木马：

近期，各种版本的比特币勒索病毒层出不穷，国内人员编写的勒索病毒在网络上大行其道。 勒索病毒大多以木马程序的形式诱骗用户点击运行，因此用户对从网上下载的邮件附件和来历不明的文件要格外小心，不要轻易点击运行。 一旦用户感染相关病毒，系统中的重要文件将被非对称密钥算法加密，除非您按要求向作者支付相应的比特币赎金，否则无法解密。 不过比特币敲诈者，近期国内杀毒厂商对部分国内版本的勒索病毒样本进行分析后发现，部分版本在执行过程中存在可绕过的漏洞，受害者即使不支付赎金也有可能获得解密密钥。 用户一旦感染了勒索病毒，可以立即尝试联系专业的杀毒公司，看看有没有办法解密，而不是马上支付赎金。

最近添加的严重漏洞评论：

10 月份需要注意的漏洞包括：

1、微软10月份发布的例行安全公告共10个，其​​中严重5个，重要4个，中等1个。 本次公告修复了Windows系统、办公软件、IE浏览器、EDGE浏览器、.NET Framework、Lync、Skype for Business、Web Apps、Adobe Flash Player等共计36个安全漏洞。 用户应尽快使用系统的自动更新功能进行更新。 公告详情请见：

2、Adobe在10月份发布了两份（APSB16-32和APSB16-33）安全公告，分别修补了Adobe Flash player和Adobe Acrobat/Reader软件的多个安全漏洞，其中与Flash player相关的漏洞有12个，相关漏洞有70个到 Acrobat/Reader。 由于PDF软件漏洞被利用的频率很高，用户应尽快检查自己的PDF阅读软件是否存在漏洞，并根据系统安装的软件进行升级。 需要提醒的是比特币敲诈者，破解版的Adboe Acrobat/Reader软件也受该漏洞影响，但没有办法升级。 用户需要权衡风险再决定是否放弃破解版。 两个公告的详情可在以下网址找到：

3、ISC BIND9软件存在远程拒绝服务攻击漏洞。 攻击者以BIND9为服务程序向DNS服务器发送特定查询数据，可能导致BIND 9程序的buffer.c断言错误，导致BIND9主程序崩溃。 此漏洞影响所有使用 BIND9 的 DNS 服务器，无论是递归的还是权威的。 该漏洞被跟踪为 CVE-2016-2776。 目前攻击代码已在网上公开，ISC已在新版本中修复该漏洞。 其他Linux系统也发布了相应的补丁。 管理员只需要及时更新自己的BIND9版本就可以防范这些漏洞。 有关该漏洞的详细信息，请参阅：

安全警告：

BIND9漏洞的影响比较广泛，几乎影响了所有现有的使用BIND9作为服务程序的DNS服务器。 建议DNS服务器管理员关注该漏洞带来的风险，尽快升级服务程序。 目前各个linux系统版本的升级更新已经比较完善，系统的自动更新功能可以更新系统自带的BIND软件。 但是如果你的BIND9是自己手动下载安装的，需要自己手动下载安装更新版本。

（郑先伟作者单位为中国教研网应急小组）