比特幣敲詐病毒近期呈爆發趨勢

文/鄭先偉

?

比特幣敲詐病毒近期呈爆發趨勢

文/鄭先偉

3月教育網運行平穩，未發現影響嚴重得安全事件。

3月安全投訴事件與以往占比沒有太大變化。

近期比特幣敲詐病毒呈現爆發趨勢，這類病毒通過電子郵件附件或是網頁瀏覽進行傳播，一旦用戶感染，病毒程序會加密用戶系統上的各種數據文件（包括文檔、圖片等），并要求用戶支付一定數量的比特幣來獲得解密秘鑰。與以往不同的是，最新的敲詐病毒都使用了高強度的RSA加密算法，病毒用公鑰加密用戶系統上的文件數據，將解密用的私鑰藏在隱藏網絡中等待用戶支付贖金后獲取。相關的敲詐病毒目前使用的RSA加密秘鑰長度已經達到了2048和4096位，對于這個強度的加密，在沒有私鑰的情況下要想解密幾乎是不可能。得益于比特幣交易的隱蔽性及隱藏網絡的不可追蹤性，比特幣敲詐病毒的制造者們獲利豐厚且毫無風險，這又導致更多人投入到這個產業中來。從最新截獲的幾個比特幣敲詐病毒版本上看，病毒已經不惜血本地使用了0day漏洞（導致殺毒軟件不能及時地查殺）來進行傳播，足可見在豐厚的利益誘惑下，更多高水準的攻擊者在往這個方向靠攏。在可預見的未來，除非政府能夠有效地跟蹤比特幣的交易來抓獲元兇，否則這類敲詐病毒會層出不窮且會有愈演愈烈的趨勢。這對于用戶來說絕不是好事，增強自身的網絡安全意識及防范常識變得越來越重要。

2016年2月～3月安全投訴事件統計

近期新增嚴重漏洞評述：

3月需要關注的漏洞有如下這些：

1. 微軟3月的安全公告告共13個，其中2個為嚴重等級，11個為重要等級，這些公告共修補了Windows系統、IE瀏覽器、Edge、Office辦公軟件、Web App 及.NET中的44個安全漏洞，用戶應該盡快使用Windows的自動更新功能進行補丁的安裝以降低風險。漏洞的詳情請參見：https://technet.microsoft.com/zh-cn/library/ security/ms16-mar.aspx。

2. ISC發布了BIND軟件的最新版本，用于修補之前版本中存在的拒絕服務漏洞，這些漏洞可能導致遠程的攻擊者發送特定的請求來是BIND服務崩潰，不能提供正常服務。為此ISC已經發布了新版本的BIND來修補這些漏洞，管理員可以參考以下公告進行升級：

https://kb.isc.org/article/AA-01351

https://kb.isc.org/article/AA-01352

https://kb.isc.org/article/AA-01353

3. Apache Struts 2.0.0 - 2.3.24.1版本存在遠程代碼執行漏洞。這些版本中對特定標簽相關屬性值進行雙重OGNL評估，由于未有效驗證用戶提供的輸入，可使未經身份驗證的遠程攻擊者通過向受影響應用提供構造的屬性標簽數據，在目標系統上執行任意代碼。要想利用這個漏洞需要滿足一系列的條件，如允許用戶構造屬性標簽數據并在程序中多次傳輸這個參數。目前來看本次的Struts2漏洞由于其利用條件的限制，影響面不會比上次的Struts2廣，但是具體的影響還需要持續關注。目前廠商已經發布了補丁程序來修補這些漏洞，您可以在下列鏈接中下載：http://struts. apache.org/docs/version-notes-2326.html。

4. Oracle公司發布了一個安全公告（alert-cve-2016-0636-2949497），用于修補Jave se Hotspot子組件中存在的一個安全漏洞，攻擊者可以利用這個漏洞遠程破壞用戶系統的保密性、完整性和可用性。漏洞影響Jave SE 8u74、8u73、7u97版本，廠商已經針對該漏洞發布了補丁程序，受影響的用戶應該盡快更新到最新版本。補丁信息請參見：http:// www.oracle.com/technetwork/java/javase/ downloads/index.html。

5. 蘋果公司的MAC OS X系統由于其封閉性及嚴格的權限控制被認為是相對安全的操作系統。最近OS X EI Capitan 10.11.4之前的系統版本中被發現存在一個安全漏洞，攻擊者利用該漏洞可以繞過蘋果系統最新的SIP（System Integrity Protection）安全機制以root的身份在系統中執行任意代碼。一旦惡意的代碼被寫入系統的核心部位，SIP機制會將這些惡意代碼當作系統核心代碼保護而限制用戶對病毒的清除，這可能導致病毒除長期存在系統中。目前蘋果公司已在最新的OS X EI Capitan 10.11.4版本中修補了該漏洞，使用MAC OS X系統的用戶應該盡快更新到最新版本。

（作者單位為中國教育和科研計算機網應急響應組）