每日安全简讯(20161222)

1、勒索软件CryptXXX 已被破解
2、安全厂商发现新型ATM恶意代码
3、恶意代码Ticno伪装系统对话框
4、恶意代码Rakos可感染IoT设备
5、OpenSSH 7.4修复多个安全漏洞
6、公检法出台意见打击电信诈骗

【安天】搜集整理（来源：bleepingcomputer、trendmicro、bleepingcomputer、bleepingcomputer、phperz、xinhuanet）

1、勒索软件CryptXXX 已被破解
标题：Kaspersky updates RannohDecryptor to decrypt CryptXXX's Crypt, Cryp1, and Crypz Extensions

作者信息：December 20, 2016 05:56 PM  By Lawrence Abrams

//BEGIN
If you are a CryptXXX Ransomware victim who didn't pay the ransom and instead decided to store their encrypted files and ransom notes for future fixes then you are in luck. Today, Kaspersky announced that they have updated their RannohDecryptor utility to decrypt CryptXXX encrypted files that have the .crypt, .cryp1, and .crypz extension.
经过大约八个月的等待之后，勒索软件CryptXXX的解锁工具软件终于面世，这对一直苦苦等待的客户来说，可能是个好消息：如果还保留着那些原始的被加密的勒索文档的话。这些被加密的文档的扩展名通常为 .crypt .cryp1和.crypz。
俄罗斯的卡巴斯基开发了这个工具软件，供免费下载使用。


//END
We have been monitoring CryptXXX since it was released in April 2016 and it has become one of the most widely reported ransomware families in our forums.
Kaspersky has seen this as well, with their customers having been attacked by CryptXXX at least 80,000 times since April 2016. According to a press release by Kaspersky, more than half were found in six countries: US, Russia, Germany, Japan, India and Canada.
根据卡巴的监测，世界各地的计算机用户都受到了这类勒索软件的侵害：这些国家包括美国、俄国、德国、日本、印度以及加拿大等。预计从2016年4月份开始到目前，其用户遭受大约有8万次的该勒索软件的攻击。

//下载： rannohdecryptor.zip (577.37 KB, 下载次数: 53)

2016-12-22 21:15 上传

点击文件名下载附件

文件名：RannohDecryptor.exe
文件大小：734，544 bytes
MD5     : A8EB75E291032ED93DCCF1AC57AA551A

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、安全厂商发现新型ATM恶意代码
标题：Alice: A Lightweight, Compact, No-Nonsense ATM Malware

作者信息：December 20, 2016 at 5:00 am By David Sancho 和 Numaan Huq

//BEGIN
Trend Micro has discovered a new family of ATM malware called Alice, which is the most stripped down ATM malware family we have ever encountered. Unlike other ATM malware families, Alice cannot be controlled via the numeric pad of ATMs; neither does it have information stealing features. It is meant solely to empty the safe of ATMs. We detect this new malware family as BKDR_ALICE.A.
这个应该算是比较纯粹的ATM恶意代码了：直接从ATM机器的钱盒子中把钱都搞出来，而且不通过那个输入小键盘！


//END
Up until recently, ATM malware was a niche category in the malware universe, used by a handful of criminal gangs in a highly targeted manner. We are now at a point where ATM malware is becoming mainstream. The different ATM malware families have been thoroughly analyzed and discussed by many security vendors and these criminals have now started to see the need to hide their creations from the security industry to avoid discovery and detection. Today, they are using commercial off-the-shelf packers; tomorrow we expect to see them start to use custom packers and other obfuscation techniques.
到目前为止的ATM恶意代码采用的基本都是商用的加壳攻击工具，未来可能出现更多的定制化的或者其他方法的混淆技术，以躲避检测。ATM恶意代码真正逐步成为主流。

//下载： appendix-alice-lightweight-compact-atm-malware-2.pdf (243.29 KB, 下载次数: 47)

2016-12-22 21:16 上传

点击文件名下载附件

文件名  ：appendix-alice-lightweight-compact-atm-malware-2.pdf
文件大小：249，131 bytes
MD5     : 82BCA6524F3C1C846A9214637C1C80E1

点评：附件列出的9年出现的的8个ATM恶意代码值得看看。

3、恶意代码Ticno伪装系统对话框
标题：Malware Disguises Installer as Windows "Save As" Dialog Box

作者信息：December 20, 2016 09:55 AM By Catalin Cimpanu

//BEGIN
Malware distributed via affiliate programs and bundled with other applications is using a devious tactic to fool users into installing it on their systems.
捆绑恶意软件又出新招数：他们通过伪装成系统的Save As....另存为的对话框的形式来欺骗用户安装各种捆绑软件到其系统中。这样看起来像是系统对话框，而实际上则是一个捆绑软件安装的对话框。

//END
Legitimate apps, such as the Amigo browser and the HomeSearch@Mail.ru developed by Mail.ru are also included, most likely part of affiliate software installation schemes that net the Ticno authors a nice profit.
If users fail to spot this link and press the Save button, the "Save As" dialog box shows its true face and transforms into an installer.
其实还是能看出端倪的，如果仔细检查这个所谓的系统Save As另存为对话框，那么在其左下角就能看到一个URL链接，其实这个就是捆绑软件的选项！

点评：擦亮眼睛！不要慌慌张张点确认，点下一步等等。

4、恶意代码Rakos可感染IoT设备
标题：Mysterious Rakos Botnet Rises in the Shadows by Targeting Linux Servers, IoT Devices

作者信息：December 20, 2016 04:50 PM By Catalin Cimpanu

//BEGIN
Somebody is building a botnet by infecting Linux servers and Linux-based IoT devices with a new malware strain named Rakos.
虽然目前看这个恶意代码看起来不怎么有害，但是它毕竟还是感染了Linux服务器以及IoT设备，同时还会利用这些已经感染的设备和服务器，进一步采用暴力破解的方法来进一步感染其他的Linux服务器以及IoT设备。这些都是今年的8月份开始出现。如果目标服务器的相关目录出现了 ".javaxxx", ".swap", 或 "kworker"，那么就可能被感染了这个恶意代码。

//END
The foul language used in the Rakos source code points to the malware author's background, as this does not look like some academic research that's gone awry. At the time of writing, ESET has not published exact or approximate numbers regarding the botnet's current headcount.
通过分析恶意代码Rakos的源代码可以发现，其作者并无专业背景，也可能还是习作。到目前为止，其具体的感染数量还未知。

点评：Rakos这是欲步Mirai的后尘？

5、OpenSSH 7.4修复多个安全漏洞
{CHN}
标题：OpenSSH 7.4 发布，多项 BUG 修复

作者信息：2016-12-20 08:51:10 By phperz

//BEGIN
OpenSSH 是 SSH （Secure SHell） 协议的免费开源实现。SSH协议族可以用来进行远程控制， 或在计算机之间传送文件。而实现此功能的传统方式，如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的，并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务。

//END
OpenSSH 7.4 发布了。
这是一个主要 bug 修复版本，它为修复的问题分配了四个 CVE 号码。 这个版本取消了对 v1 SSH 协议的服务器端支持，增加了一个新的代理复用模式，使得可以永远禁用所有转发等。你可点击此处了解更多内容。
官网地址：http://www.openssh.com/

点评：补快！

6、公检法出台意见打击电信诈骗
{CHN}
标题：公检法出台意见打击电信诈骗：致人死亡将重罚

作者信息：2016年12月21日 08:52:29  By 新京报

//BEGIN
针对近年来猖獗的电信网络诈骗，昨日，最高人民法院、最高人民检察院、公安部联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(以下简称《意见》)。《意见》规定，实施电信网络诈骗犯罪，达到相应数额标准，并致人死亡的，将对实施诈骗的犯罪分子酌情从重处罚。

//END
案例

　　3学生遭电信诈骗后死亡

　　●今年7月19日，广东省惠来县高考录取新生蔡淑妍接到某栏目组虚假中奖短信，被骗9800元。8月30日晚，蔡淑妍母亲报警称女儿自8月28日失联，后民警反馈信息，蔡淑妍溺亡。
　　●今年8月12日，20岁的山东理工大学学生宋振宁到公安机关报称被电话诈骗1996元，23日，其家人发现宋振宁不省人事，后经确认为猝死。
　　●今年8月19日，山东准大学生徐玉玉接到电信诈骗电话后被骗9900元钱，当晚徐玉玉在报案回家途中心脏骤停，后抢救无效死亡。(记者王梦遥)

点评：致人死亡（一种最严重的情），还要酌“情”从重处罚？%^&&