傻瓜建网站:B站500万粉up主党妹被黑客勒索:交钱赎“人”!安全
本文摘要: 郭一璞 十三 发自 凹非寺量子位 报导 | 大众号 QbitAI最近真是太难了,要防新冠病毒,还要防勒索病毒。昨日,B站556万粉丝的up主「机智的党妹」就发视频说,自己被勒索病毒攻击了。她正在制造的数百个GB的视频素材文件,全都被病

郭一璞 十三 发自 凹非寺
量子位 报导 | 大众号 QbitAI

最近真是太难了,要防新冠病毒,还要防勒索病毒

昨日,B站556万粉丝的up主「机智的党妹」就发视频说,自己被勒索病毒攻击了。

她正在制造的数百个GB的视频素材文件,全都被病毒加密绑架,黑客只留下一封勒索信:

想拿回这些素材?乖乖交赎金吧。

依据B站数据可视化up主「狸子LePtC」的统计,截至2020年4月3日,党妹在B站所有up主里粉丝排名达到第13。

考虑到前面有三个官方账号,党妹根本上可以说是B站排名前十的第三方up主了,她的B站粉丝数比李子柒、郭杰瑞、美食作家王刚、何同学、朱一旦、罗翔老师、冯提莫、半佛仙人这些在多个平台火出圈的up主都要多。

并且B站精巧的视频出产本钱高、出产时间长,因此囤好的素材被加密后,党妹这位百万up主准备的许多视频都暂时无法发布了。

换成流量的话,依照党妹近期每一个视频300万播放量来预计,大约是几百万乃至千万的流量损失。

唉,写个10W+都要惊喜一下的文字创作者,感到心在滴血。

你可能觉得,粉丝基数在这里,再拍一些视频也一样会有流量。但党妹单个视频的本钱也适当高。

依据B站up主、前《英雄联盟》LPL视频制造团队成员「-LKs-」的分析,党妹不少视频的杂乱程度挨近小本钱商业片,团队差旅、场地、设备、服化道等本钱加起来,有些视频制造本钱能达到6位数。

就算疫情期间不能出门拍大片,近期更新的这类唱跳视频的制造本钱可能也不亚于小规模的MV了。

对从事内容制造的小微企业来说,疫情本身就对本身事务有一些影响,大本钱内容素材丢掉就更是落井下石了。

搭好NAS第一天就被黑了


党妹介绍,为了便利存储使用数百个GB的的视频素材,她的公司花了十几万在内部搭建了一个NAS体系,适当于一个公司内部人人可以拜访公共硬盘,或者说私有云。

NAS搭建好测试一段时间后,投入使用的第一天就被黑客攻击了。

黑客用的是一种叫做Buran的勒索病毒,它专门攻击Windows体系。

被攻击之后,NAS里的所有文件都被改成了奇怪的格局,无法打开使用,并且黑客还在文件夹里留下了一封.txt格局的勒索信:


!!!ALL YOUR FILES ARE ENCRYPTED!!!!!!你所有的文件都被加密了!!!

信中说,这个NAS所有的文档、照片、数据等均已被加密,不要试图自己解密,恢复文件的仅有方法是购买一个绝无仅有的密匙,只有这个密匙才干解密这些文件。

假如被攻击者想要验证黑客说的是否是真的,那就要给黑客发邮件,免隐晦开一个文件来证明。当然,不能是重要文件,不然黑客怎么赚钱。

黑客给被攻击者留下了一串ID,需要给两个特定的Email发邮件联络,并通过这串ID来标明身份,与黑客商洽才干解开文件。

并且黑客还提示,不要重命名这些文件,也不要用第三方软件解密,不只会有可能让文件丢掉,并且还因为本钱添加,黑客会收更高的解密费用,乃至第三方可能也是个骗子,让被攻击者进入套娃式骗局。

新加入党妹公司的IT小哥哥,查了查日志,发现这封勒索信是病毒程序主动生成的,IP地点是北京的一家藏书楼,当然,极可能是黑客故意假装,假装自己在藏书楼,无法再详细的查到源头。

党妹也有些懊悔,“之前常常收到我们提示我说,录视频不要过多暴露租房周围的信息,这样很风险。”毕竟具有强壮个人IP的up主们每逢搬迁必定会介绍自己的新房子,出门拍视频也常常会录制出门打车的过程作为转场,不免被人判断出住在一座城市的哪一个区域。

发现被攻击之后,党妹迅速报警,民警也迅速受理,做了笔录,联络了网安部门进行速查评价。可是,视频的价值很难说清楚,并且走“恰饭模式”的up主,假如一个视频没有恰到饭也没有直接的经济损失,因此无法立案。

民警建议党妹去找数据恢复公司,但勒索信里说,最好不要去找第三方解密,因为可能被套娃诈骗或者解密不成黑客加价。

现在,党妹也很遗憾,安全意识欠缺,给了黑客无隙可乘,期望其他up主和粉丝们留意信息安全。

毫无预警,攻击技能难度为0


通过党妹团队的一系列排查,大约率把方针锁定到了一个叫Buran的勒索病毒。

党妹团队通过调研,对Buran做出了如下解释:

只能攻击Windows体系。

它会运转本身,对硬盘里的其他文件进行加密,之后留下Email的TXT文档,再将自己删除。

Buran没有特定的密匙,无法解开,360、火绒等公司也对其一筹莫展。

它在攻击之前也没有方法进行预警,最可怕的是此次攻击技能难度简直为0:只需要知道IP地点,通过穷举法破译密码,获取一系列的权限。

看着党妹仔细复述自己被“宰”的过程,也是怪疼爱的……

而关于Buran病毒入侵的详细过程,我们也做了一下整理。

Buran勒索病毒启动后依据参数不同,执行不同的动作,初始时应是无参数状态启动。主要有以下三种状况

无参数


转移病毒到指定目录并设置自启动,以参数-start重启新目录下病毒文件,删除其时执行目录下病毒文件并退出;

假如以上行为失败,则继续执行参数-start时的行为。

参数为-start


生成用户RSA公钥和病毒自界说MachineID,将其写入注册表;

删除数据备份;

查找可加密磁盘,记载到注册表,为每一个可加密磁盘启动一个勒索病毒进程,参数-agent< IndexInReg >;

在桌面开释勒索信息文件,使用记事本打开勒索信息文件以提示用户。

参数-agent


查找参数下标对应注册表中的磁盘,对可加密文件进行加密;

病毒中的字符都通过RC4流对称加密算法进行加密,待解密数据前32字节为Key,其余字节为密文。

终究,还有一个勒索文件,文件会奉告用户联络黑客进行解密的Email。

正式支付赎金前,用户可避免隐晦密一个文件,以确认黑客可以正确解密文件。

勒索信的终究也附带了一句“温馨提示”:

你最好不要去找解密公司,你还有可能继续被诈骗。

正如党妹评价——这封勒索信“超贱的!”

网友出面拯救党妹,量子位专访多方专家


看到党妹的不幸遭遇,网友们纷繁出面置评。

一位网络攻防博士评价这种病毒:无解

同时,这位博士强调,”和你暴露真实方位无关“,这也与党妹视频中的结论相悖。

也有网友提示负责安全的IT小哥做好后续保障工作

当然,许多网友也劝党妹,千万不要交钱!

而针对普通用户,知名up主”翼王“也强调,NAS不该该直接暴露到外网,建议体系使用freenas+ZFS,同时做好备份。

对此,我们也分别采访了360安全团队、腾讯安全团队的专家。

量子位:若是要将数据存储到类似NAS这样的效劳器中,这个过程务必需要留意些什么问题?

360安全专家:

建议做个安全排查,不然这个勒索病毒可以种第一次,就有可能种第二次,连真正哪里呈现的问题都不知道,何谈保护呢。

安全配置要跟上,不论是专门的NAS效劳器,仍是自己搭建的效劳器,口令安全很重要,不使用简略口令,补丁要及时打上,不给黑客可趁之机。

另外养成杰出的习惯,重要数据多备份,做数据拜访的权限控制,在呈现问题之后,也能减小损失。

使用安全防护软件,可以解决绝大部分安全问题,尤其对小白用户,安全软件多是最好的解决方法。

网络安全外,物理安全也不该该忽视,防火防盗防水,断电保护等等都可能对数据安全形成影响。

腾讯安全专家李铁军:

NAS设备是现在不少视频工作室、UP主、摄影摄像喜好者较多使用的小型云存储设备,大多使用Linux体系,另外也有Windows体系及树莓派DIY的产品。

这些设备的主要特点是便利存储、便利分享、便利多设备同步,但安全性却被疏忽了。有几个显着的风险点:
  • 操作体系本身的安全缝隙——其实不是所有NAS设备制造商都有能力为用户提供继续的体系加固和缝隙修复能力;
  • 软件配置管理的缝隙——默许密码和用户配置的简略密码,都十分容易被暴力破解。
  • 在用户环境,可能较多状况下考虑到使用的便利性,而对安全性没有足够知道。比较容易将设置配置为可以通过公网拜访。这意味着,对所有攻击者翻开了大门。

就像很久之前有人做过测试:假如一台不打补丁的Windows电脑接入互联网,多久会中毒,成果是只需要几分钟。

量子位:视频内容工作者不要过多暴露工作环境,这是为何?黑客会怎么使用这些环境信息?

360安全专家:

这位博主被攻击的原因,可能和这条无关。可是不要过多暴露工作环境,确实对网络安全防护有积极意义。攻击者可以使用一些不经意间泄露的信息,获取到很多有价值的攻击线索。

比如一张桌面截图,可能就会泄露用户的一些使用习惯,装置了哪些软件,使用的什么操作体系,乃至有一些人桌面会存放一些个人隐私信息相关的文档数据,也会不经意的泄露。

通过这些泄露的信息,黑客就能够较为轻松的完成“踩点”工作。

腾讯安全专家李铁军:

保护隐私需要从点滴做起,比如隐藏个人信息、工作单位信息,假如使用固定IP接入,IP地点信息等等都需要保护。特别是,假如现已是大V了,意味着身价也高了,攻击者的爱好会更高。

量子位:若是真的不幸中标,该采纳什么样的补救措施?

360安全专家:
  • 假如刚刚发现中招,建议先堵截网络,排查受影响状况(比如有多少台机器中招,都是什么问题)。
  • 假如被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏形成无法解密等。
  • 排查中招原因(这一点可能需要寻找专业安全公司的协助),我们常常说,能中挖矿木马的机器,就极可能再被勒索病毒攻击。能被攻击一次,就可能被攻击第二第三次。意思是,平时就要留意安全防护,小的安全问题,可能就是大的安全问题的征兆。不完全排查中招原因,也就无法完全修复存在的安全问题,再次沦亡的可能性极高。
  • 修补存在的安全问题,加强安全意识。
  • 恢复数据和信息体系,极力挽回损失。数据恢复的方式有很多种,依据不同状况有不同的方案,可以寻求专业公司或安全公司的协助。

腾讯安全专家李铁军:

很不幸,对大大都勒索病毒攻击,是没有修复解密的方法的,这也是勒索病毒产业继续危害数年的原因。

关于所有核算机用户,或选用NAS数据存储方案的工作室,只能采纳事前防御,提高整个团队的网络安全意识,选用专业的安全方案做保护,对数据做好备份。

终究,两位专家都特意强调一点:

数据备份很重要!!!

勒索病毒受害者,不止于小公司


独一无二,最近,不少国外公司也中了勒索病毒的招。

美国制药巨擘ExecuPharm就是其间一家。在给佛蒙特州总检察长办公室的一封信中写道:

在3月13日遭到勒索软件攻击,并正告说,社会保障号码、财务信息、驾驶执照、护照号码和其他敏感数据可能已被侵入。

而事情的严峻程度不止于此。

黑客不只仅是加密了这家公司数据这么简略,因为没有打钱,他们还将数据公布到了一个与 CLOP 勒索软件组织有关的暗网上。

随后,经ExecuPharm的证明,CLOP正是这次攻击的幕后黑手。

虽然因为新冠病毒迸发的影响,一些勒索软件组织现已表态,疫情期间会放过医疗公司。

Clop也表明,它也不会攻击医院、疗养院或慈悲机构,但它认为,“ExecuPharm不具备资历,它是仅有获益于其时疫情的公司”。

(嗯……Clop的说法为什么有种”劫富济贫“的感觉……)

即便是台积电这样的巨擘,也中过勒索病毒的招,2018年台积电的电脑因为中毒导致产线停机,整个过程损失达17.6亿元。而原因是公司Windows 7电脑的445端口未关闭,被黑客植入病毒。

无论公司巨细,粉丝多少,数据安全大于天,防患意识不能无!

不说了,我要去给独享资源们挨个备份一下了。

参考链接:

https://www.bilibili.com/video/BV1ii4y1t7i1
https://www.bilibili.com/video/BV1EV411f72u
https://www.bilibili.com/video/BV1CJ411X7xy
https://techcrunch.com/2020/04/27/execupharm-clop-ransomware/
https://bbs.360.cn/thread-15826036-1-1.html

https://m.weibo.cn/6105753431/4492812131224447

— 完 —

量子位 QbitAI · 头条号签约

重视我们,第一时间获知前沿科技动态

【免责声明】本文仅代表作者或发布者个人观念,不代表(www.lmnkf.cn)及其所属公司官方发声,对文章观念有疑义请先联络作者或发布者自己修正,若内容触及侵权或违法信息,请先联络发布者或作者删除,若需我们协助请联络平台管理员,Emailcxb5918(本平台不支撑其他投诉反馈渠道,谢谢合作)。若需要学习以上相关常识请到巨推学院观看视频教程,网站地址www.tsllg.cn。

相关内容