CCERT月报：勒索病毒攻击将呈上升趋势

　　6月中旬，工业和信息化部会同有关部门起草的《网络安全漏洞管理规定（征求意见稿）》向大众发布了征求意见稿。该规定对网络安全漏洞的研究、披露和修补过程提出了具体的要求。包括要求网络产品的生产方自获知漏洞后90天内必须完成相关漏洞修补或是采取防范措施，网络服务的提供者在获知漏洞信息后10天内必须完成漏洞修补工作或是采取防范措施。同时规定还对发现漏洞的第三方组织或个人进行了约束，要求不得在漏洞补丁发布前公开漏洞信息;不得刻意夸大漏洞的危害及风险，不得公开发布与漏洞有关的验证方法、验证程序或工具。这其中学校的身份主要适用于网络服务的提供者，需要在10天内完成对已知漏洞的修补，否则将会受到约谈或是行政处罚。

　　6月初GandCrab勒索病毒的开发团队宣布他们已经通过这款勒索病毒赚取了足够多的钱。将停止相关病毒的版本更新，关闭密钥服务器并删除所有解密密钥。GandCrab作为一个最具代表性的勒索病毒家族，从2018年初第一个版本到现在，GandCrab家族的感染量超过整个勒索病毒感染量的半数以上，是当之无愧的勒索病毒之王。该病毒给用户带来的损失不可估量，为此各安全厂商也一直在与之斗争，其中最值得一提的是Bitdefender公司，一直在致力于获得病毒的解密密钥并开发解密工具，目前该公司发布的最新解密工具能解密被GandCrab V5.2版本加密的数据，并支持解密的之前的版本包括V4.0、V5.0、V5.0.2、V5.0.3、V5.0.4、V5.1。如果您有之前被该病毒加密的数据，可以到相关厂商的官网上下载解密工具进行数据解密恢复。

　　需要额外提醒的是，虽然GandCrab的开发者宣布收手不干，但不表示勒索病毒就会减少，今后很长一段时间里，勒索病毒的数量都会继续呈上升趋势，因为只要无风险的经济变现途径（数字加密货币）还在，勒索病毒攻击就会一直存在，且会愈演愈烈。

　　近期新增严重漏洞评述:

　　1.微软6月的例行安全公告修复了其多款产品存在的344个安全漏洞。涉及Windows系统、IE浏览器、Edge浏览器、Jet 数据库、ActiveX Data Objects、Microsoft Word、Chakra 脚本引擎、Windows Hyper-V等。利用这些漏洞攻击者可以远程执行任意代码、权限提升，获取敏感信息或是进行拒绝服务攻击。建议用户尽快使用Windows系统自带的更新功能进行补丁更新。

　　2.Coremail邮件系统是论客科技（广州）有限公司自主研发的大型企业邮件系统，该邮件系统在高校内使用较为广泛。近期Coremail部分版本被曝存在两个安全漏洞，分别是mailsms模块的参数大小写敏感导致的任意文件读取漏洞及apiws模块上的部分WebService服务存在访问策略缺陷导致的注入文件操作漏洞。目前相关的厂商已经发布了补丁程序，建议相关用户及时联系厂商进行补丁升级。

　　3.Oracle公司在今年4月的例行更新中修补了Oracle WebLogic Server中存在的一个远程代码执行漏洞。但是最新的研究发现一些新的攻击方式可以绕过4月的补丁限制继续利用该漏洞，目前厂商还未发布新的补丁程序，管理员可采取一些临时办法来限制漏洞被利用，包括：

　　1.通过访问策略控制禁止 /_async/* 及 /wls-wsat/* 路径的URL访问，此操作可能会造成业务系统无法正常使用，可通过白名单机制允许授权用户访问。

　　2.在明确不使用wls-wsat.war和bea_wls9_async_response.war的情况下， 建议直接删除该组件并重启WebLogic服务器。（责编：杨燕婷）

　　安全提示

　　被勒索病毒加密的文件在未获取解密密钥的情况下基本是无法自行解密恢复的（那些解密工具都是获取了解密密钥后才能进行数据解密的）。所以对于勒索病毒预防是最重要的，预防性的措施包括：

　　1.及时安装系统及软件的补丁程序，防止病毒利用漏洞进行传播；

　　2.安装有效的防病毒软件并及时更新病毒库，定期进行全盘扫描；

　　3.关闭系统中U盘自动运行功能；

　　4.不要在系统上随便点击来历不明的程序，包括邮件附件、不可信渠道下载的软件等；

　　5.避免为系统账号设置弱口令；

　　6.关闭系统不必要的服务和共享，对于必须开放的服务，尽量不要使用默认的服务端口；

　　7.提高安全意识，保持良好的上网习惯，不要访问非法的网站及网页；

　　8.养成良好的数据备份习惯，定期使用离线的介质备份重要的数据。

　　（作者单位为中国教育和科研计算机网应急响应组）