比特幣敲詐病毒近期呈爆發(fā)趨勢

文/鄭先偉

?

比特幣敲詐病毒近期呈爆發(fā)趨勢

文/鄭先偉

3月教育網(wǎng)運行平穩(wěn)，未發(fā)現(xiàn)影響嚴重得安全事件。

3月安全投訴事件與以往占比沒有太大變化。

近期比特幣敲詐病毒呈現(xiàn)爆發(fā)趨勢，這類病毒通過電子郵件附件或是網(wǎng)頁瀏覽進行傳播，一旦用戶感染，病毒程序會加密用戶系統(tǒng)上的各種數(shù)據(jù)文件（包括文檔、圖片等），并要求用戶支付一定數(shù)量的比特幣來獲得解密秘鑰。與以往不同的是，最新的敲詐病毒都使用了高強度的RSA加密算法，病毒用公鑰加密用戶系統(tǒng)上的文件數(shù)據(jù)，將解密用的私鑰藏在隱藏網(wǎng)絡(luò)中等待用戶支付贖金后獲取。相關(guān)的敲詐病毒目前使用的RSA加密秘鑰長度已經(jīng)達到了2048和4096位，對于這個強度的加密，在沒有私鑰的情況下要想解密幾乎是不可能。得益于比特幣交易的隱蔽性及隱藏網(wǎng)絡(luò)的不可追蹤性，比特幣敲詐病毒的制造者們獲利豐厚且毫無風險，這又導(dǎo)致更多人投入到這個產(chǎn)業(yè)中來。從最新截獲的幾個比特幣敲詐病毒版本上看，病毒已經(jīng)不惜血本地使用了0day漏洞（導(dǎo)致殺毒軟件不能及時地查殺）來進行傳播，足可見在豐厚的利益誘惑下，更多高水準的攻擊者在往這個方向靠攏。在可預(yù)見的未來，除非政府能夠有效地跟蹤比特幣的交易來抓獲元兇，否則這類敲詐病毒會層出不窮且會有愈演愈烈的趨勢。這對于用戶來說絕不是好事，增強自身的網(wǎng)絡(luò)安全意識及防范常識變得越來越重要。

2016年2月～3月安全投訴事件統(tǒng)計

近期新增嚴重漏洞評述：

3月需要關(guān)注的漏洞有如下這些：

1. 微軟3月的安全公告告共13個，其中2個為嚴重等級，11個為重要等級，這些公告共修補了Windows系統(tǒng)、IE瀏覽器、Edge、Office辦公軟件、Web App 及.NET中的44個安全漏洞，用戶應(yīng)該盡快使用Windows的自動更新功能進行補丁的安裝以降低風險。漏洞的詳情請參見：https://technet.microsoft.com/zh-cn/library/ security/ms16-mar.aspx。

2. ISC發(fā)布了BIND軟件的最新版本，用于修補之前版本中存在的拒絕服務(wù)漏洞，這些漏洞可能導(dǎo)致遠程的攻擊者發(fā)送特定的請求來是BIND服務(wù)崩潰，不能提供正常服務(wù)。為此ISC已經(jīng)發(fā)布了新版本的BIND來修補這些漏洞，管理員可以參考以下公告進行升級：

https://kb.isc.org/article/AA-01351

https://kb.isc.org/article/AA-01352

https://kb.isc.org/article/AA-01353

3. Apache Struts 2.0.0 - 2.3.24.1版本存在遠程代碼執(zhí)行漏洞。這些版本中對特定標簽相關(guān)屬性值進行雙重OGNL評估，由于未有效驗證用戶提供的輸入，可使未經(jīng)身份驗證的遠程攻擊者通過向受影響應(yīng)用提供構(gòu)造的屬性標簽數(shù)據(jù)，在目標系統(tǒng)上執(zhí)行任意代碼。要想利用這個漏洞需要滿足一系列的條件，如允許用戶構(gòu)造屬性標簽數(shù)據(jù)并在程序中多次傳輸這個參數(shù)。目前來看本次的Struts2漏洞由于其利用條件的限制，影響面不會比上次的Struts2廣，但是具體的影響還需要持續(xù)關(guān)注。目前廠商已經(jīng)發(fā)布了補丁程序來修補這些漏洞，您可以在下列鏈接中下載：http://struts. apache.org/docs/version-notes-2326.html。

4. Oracle公司發(fā)布了一個安全公告（alert-cve-2016-0636-2949497），用于修補Jave se Hotspot子組件中存在的一個安全漏洞，攻擊者可以利用這個漏洞遠程破壞用戶系統(tǒng)的保密性、完整性和可用性。漏洞影響Jave SE 8u74、8u73、7u97版本，廠商已經(jīng)針對該漏洞發(fā)布了補丁程序，受影響的用戶應(yīng)該盡快更新到最新版本。補丁信息請參見：http:// www.oracle.com/technetwork/java/javase/ downloads/index.html。

5. 蘋果公司的MAC OS X系統(tǒng)由于其封閉性及嚴格的權(quán)限控制被認為是相對安全的操作系統(tǒng)。最近OS X EI Capitan 10.11.4之前的系統(tǒng)版本中被發(fā)現(xiàn)存在一個安全漏洞，攻擊者利用該漏洞可以繞過蘋果系統(tǒng)最新的SIP（System Integrity Protection）安全機制以root的身份在系統(tǒng)中執(zhí)行任意代碼。一旦惡意的代碼被寫入系統(tǒng)的核心部位，SIP機制會將這些惡意代碼當作系統(tǒng)核心代碼保護而限制用戶對病毒的清除，這可能導(dǎo)致病毒除長期存在系統(tǒng)中。目前蘋果公司已在最新的OS X EI Capitan 10.11.4版本中修補了該漏洞，使用MAC OS X系統(tǒng)的用戶應(yīng)該盡快更新到最新版本。

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）