每日安全简讯(20170130)

1、勒索软件OSIRIS 感染美国警方电子证据服务器
2、研究人员提供勒索软件VirLocker简易解密方法
3、三星Galaxy短信存在漏洞，可被勒索软件利用
4、微软警告用户防范利用PDF文档的社工钓鱼手段
5、思科部分型号视频会议MCU产品被发现RCE漏洞
6、英国网安专家称：俄黑客可侵入该国军用电脑

【安天】搜集整理（来源：scribd、malwarebytes、boingboing、eweek、hackbusters、dailymail）

第一条打开比较慢，截图备忘。

1、勒索软件OSIRIS 感染美国警方电子证据服务器
标题：Computer Virus Affects Police Department Servers

作者信息：January 25, 2017 By Scribd

//BEGIN
On December 12, 2016, the Cockrell Hill Police Department became aware that files on the server had been corrupted by a computer virus. They immediately disconnected the server and all computers from the internet and all state database systems and were able to contain the virus. After investigating the issue, it was determined that the virus had been introduced onto the network from a spam email that had come from a cloned email address imitating a department issued email address.
事情发生在去年的12月12日，美国Cockrell Hill警察局的服务器中的数据文件被一种病毒破坏。当时采取的措施是迅速隔离感染的服务器以及与其相连的终端设备以及全州的数据库服务器，以防止该病毒的蔓延。经过事后的调查取证分析，该病毒的来源是一份垃圾邮件，其邮件的来源看起来是正规的，接收邮件方并未仔细核对，从而造成感染。

//END
Files that were affected did go back to 2009, however hard copies of ALL documents and the vast majority of the videos and photographs are still in the possession of the Police Department on CD or DVD. It is unknown at this time how many total digital copies of documents were lost, as it is also unknown how many videos or photographs that could have assisted newer cases will not be available, although the number of affected prosecutions should remain relatively small.
实际上这个所谓的病毒，其实是一个名为OSIRIS的勒索软件。该勒索软件加密了服务器上的所有文档文件，含DOC和XLS格式文件以及一些图形和视频文件。这个事件会最远影响可追溯到2009年。还好所有的文件均有纸质文件备份，同时一些电子文档比如视频和照片等也有CD和DVD备份。不过，到目前为止还不清楚究竟有多少文件受到影响。
警方将此事中的邮件上报给了FBI，不过由于是匿名的，因此到目前为止还不清楚究竟谁是幕后真凶。4000美元的赎金FBI不建议支付，因为即使支付也不能保证完全恢复，因此警察署最终决定完全格式化涉事的服务器，全部重来。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、研究人员提供勒索软件VirLocker简易解密方法
标题：VirLocker’s comeback; including recovery instructions

作者信息：January 25, 2017 By nscott

//BEGIN
VirLocker is in no way new, it has been making a mess of victim’s machines for quite a few years now. VirLocker was the first example of a mainstream polymorphic ransomware and it left no expense of misery to its victims.
VirLocker这个勒索软件一点也不新鲜，它已经横行了几年了，干扰受害者的机器的正常运行。不过它是第一个变形的勒索软件，好玩的是，如果处理得当，受害者不需要支付一分钱就可以恢复勒索的文件：就是在提示输入的ID中输入64个零，就这样该勒索软件会认为您已经支付了赎金，而自动开始解密被加密的文件。不过需要注意的是不要点击任何非用户重要的文档。

//END
After you have obtained the files that are important to you, the machine should be completely wiped at this point. To avoid this type of infection in the future, consider using an anti-ransomware solution like Malwarebytes, which has anti-ransomware functionalities built into it!
当采用以上的简易方法获取到了用户想要的文件后，应该立即拷贝备份好，然后重新格式化安装受感染的机器。当然如果考虑到避免再次感染，建议考虑采用一种可靠的安全软件来预防勒索软件的攻击。

//下载： VirLocker’s comeback; including recovery instructions.pdf (1.06 MB, 下载次数: 74)

2017-2-2 21:11 上传

点击文件名下载附件

文件名：VirLocker’s comeback; including recovery instructions.pdf
文件大小：1，115，118 bytes
MD5     : 3E4C03B2A8D9A739D53455EAEA878519

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

3、三星Galaxy短信存在漏洞，可被勒索软件利用
标题：You can install ransomware on a Samsung Galaxy by sending it an SMS

作者信息：7:18 am Fri Jan 27, 2017 By Cory Doctorow

//BEGIN
Researchers from Context Security have identified a vulnerability in Samsung Galaxy phones: by embedding commands in the obsolete, 17-year-old WAP proptocol in an SMS message, attackers can put them into endless reboot loops, or encrypt their storage and charge the phone's owners for a decryption key.
来自安全公司Context Security的研究人员在三星Galaxy手机中发现一个漏洞。利用该漏洞的方法是：在短信中嵌入一个命令即可。支持的协议是有17年历史的已经过时的WAP协议。最终的结果是能导致受害者的手机无限制重新启动，或者加密用户手机的文件存储，进而勒索。

//END
The devices known to be vulnerable to this attack are the Samsung Galaxy S4, S4 Mini, S5 and Note 4.
Samsung released a security update for this attack in November 2016.
受到影响的手机型号包括：Samsung Galaxy S4, S4 Mini, S5 以及Note 4等。三星公司已经在2016年的11月份发布了安全补丁，以修复该漏洞。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

4、微软警告用户防范利用PDF文档的社工钓鱼手段
标题：Microsoft Warns of Emails Bearing Crafty PDF Phishing Scams

作者信息：2017-01-27 By Pedro Hernandez

//BEGIN
Instead of trying to cram malware into inboxes, attackers are increasingly using PDF-based social engineering schemes to trick victims into handing over sensitive data or email login passwords.
攻击者正在探索新的方式来达到其目的：不再一味的采用往受害者邮件塞满恶意代码的方式，而是采用PDF格式文档，进行社工攻击，诱骗用户自己主动向攻击者提交其敏感数据以及邮件登录口令等。PDF附件看起来非常正常，而且并不带毒，但是却会巧妙的引导用户到一个钓鱼网站，攻击者在后台等着用户输入其重要登录凭证和信息。

//END
Acquired in November 2016 from Silent Break Security, the technology is used to educate users, making them less prone to falling for phishing scams over time.
安全公司Sophos在2016年11月收购了另外一家以培训为主的安全公司Silent Break Security，以各种形式教育用户不轻易上当。一个简单的例子是：如果一个PDF文件打开另外一个XLS文件，那么此过程将是非常可疑的。

点评：社工，这个古老的攻击方式总会花样翻新，时不时出现在人们的视野中。

5、思科部分型号视频会议MCU产品被发现RCE漏洞
标题：CVE-2017-3792 – Cisco TelePresence MCU affected by a Remote Code Execution issue

作者信息：January 28, 2017  By Pierluigi Paganini

//BEGIN
A critical flaw tracked as CVE-2017-3792 affects three different models of the CISCO TelePresence MCU platform, MCU 5300 Series, MSE 8510 and MCU 4500.
三种型号的思科远程视频会议组件MCU平台被发现了严重RCE远程代码执行安全漏洞。这三种型号分别是MCU 5300系列；MSE 8510系列以及MCU 4500系列。思科已经发布了安全更新，以修补存在的安全漏洞。不过不包括已经过了服务期的MCU4500系列，其服务期截止到2016年7月9日。

//END
Cisco confirmed that there are no workarounds to fix the flaw. In order to prevent exploitation of this vulnerability, the company suggests configuring the CISCO TelePresence MCU Software to use Transcoded content mode instead of Passthrough content mode.
思科方面表示，暂时还没办法补救该超过服务期型号产品的漏洞。为了避免该漏洞被利用，建议更新其默认设置，从Passthrough模式修改为Transcoded模式。

点评：估计还有很多无法提供技术支持的设备或者软件依然存在严重的安全漏洞，只是我们没感知到而已。

6、英国网安专家称：俄黑客可侵入该国军用电脑
标题：UK military computers 'are wide open to Russian hackers', says one of Britain's top cyber experts

作者信息：23:42 GMT, 28 January 2017 By Mail on Sunday

//BEGIN
Major General Jonathan Shaw said nothing could be done to stop the attacks
He said it may lead to top-secret information being read by Vladimir Putin
The retired general suggested limiting the information on military computers
One of Britain’s top cyber experts has warned that Russian hackers are able to penetrate the country’s military computers.
英国一个管理当局者称目前已经没有办法能阻止俄罗斯的黑客对该国的攻击，因为对于俄罗斯的黑客而言，这些英国网络系统就是不设防的。其结果可能直接导致该国军方的一些绝密信息被俄罗斯总统查阅。因此有英国专家建议，不要在其军用电脑中存放机密信息。

//END
In 2007, Estonia suffered a huge cyber attack, but no one was ever found responsible.
10年前的2007年，爱沙尼亚曾经遭到一次巨大的网络攻击，但是直到现在，依然没有人宣传为此事负责，而且爱官方也没有确认谁是真正的幕后黑手。

点评：英国开始消费俄罗斯网络攻击题材了。