安基網 首頁 資訊 安全報 查看內容

B站500萬粉up主黨妹被黑客勒索:交錢贖“人”!安全專家:無解

2020-4-29 14:17| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: I最近真是太難了,要防新冠病毒,還要防勒索病毒。昨天,B站556萬粉絲的up主「機智的黨妹」就發視頻說,自己被勒索病毒攻擊了。她正在制作的數百個GB的視頻素材文件,全都被病毒加密綁架,黑客只留下一封勒索信:想 ...

郭一璞 十三 發自 凹非寺
量子位 報道 | 公眾號 QbitAI

最近真是太難了,要防新冠病毒,還要防勒索病毒。

昨天,B站556萬粉絲的up主「機智的黨妹」就發視頻說,自己被勒索病毒攻擊了。

她正在制作的數百個GB的視頻素材文件,全都被病毒加密綁架,黑客只留下一封勒索信:

想拿回這些素材?乖乖交贖金吧。

根據B站數據可視化up主「貍子LePtC」的統計,截至2020年4月3日,黨妹在B站所有up主里粉絲排名達到第13。

考慮到前面有三個官方賬號,黨妹基本上可以說是B站排名前十的第三方up主了,她的B站粉絲數比李子柒、郭杰瑞、美食作家王剛、何同學、朱一旦、羅翔老師、馮提莫、半佛仙人這些在多個平臺火出圈的up主都要多。

而且B站精美的視頻生產成本高、生產時間長,因此囤好的素材被加密后,黨妹這位百萬up主準備的許多視頻都暫時無法發布了。

換成流量的話,按照黨妹近期每個視頻300萬播放量來預計,大概是幾百萬乃至千萬的流量損失。

唉,寫個10W+都要驚喜一下的文字創作者,感到心在滴血。

你可能覺得,粉絲基數在這里,再拍一些視頻也一樣會有流量。但黨妹單個視頻的成本也相當高。

根據B站up主、前《英雄聯盟》LPL視頻制作團隊成員「-LKs-」的分析,黨妹不少視頻的復雜程度接近小成本商業片,團隊差旅、場地、設備、服化道等成本加起來,有些視頻制作成本能達到6位數。

就算疫情期間不能出門拍大片,近期更新的這類唱跳視頻的制作成本可能也不亞于小規模的MV了。


對從事內容制作的小微企業來說,疫情本身就對自身業務有一些影響,大成本內容素材丟失就更是雪上加霜了。

搭好NAS第一天就被黑了

黨妹介紹,為了方便存儲使用數百個GB的的視頻素材,她的公司花了十幾萬在內部搭建了一個NAS系統,相當于一個公司內部人人可以訪問公共硬盤,或者說私有云。

NAS搭建好測試一段時間后,投入使用的第一天就被黑客攻擊了。

黑客用的是一種叫做Buran的勒索病毒,它專門攻擊Windows系統。

被攻擊之后,NAS里的所有文件都被改成了奇怪的格式,無法打開使用,而且黑客還在文件夾里留下了一封.txt格式的勒索信:

!!!ALL YOUR FILES ARE ENCRYPTED!!!!!!你所有的文件都被加密了!!!

信中說,這個NAS所有的文檔、照片、數據等均已被加密,不要試圖自己解密,恢復文件的唯一辦法是購買一個獨一無二的密匙,只有這個密匙才能解密這些文件。

如果被攻擊者想要驗證黑客說的是不是真的,那就要給黑客發郵件,免費解開一個文件來證明。當然,不能是重要文件,不然黑客怎么賺錢。

黑客給被攻擊者留下了一串ID,需要給兩個特定的郵箱發郵件聯系,并通過這串ID來表明身份,與黑客談判才能解開文件。

而且黑客還提醒,不要重命名這些文件,也不要用第三方軟件解密,不僅會有可能讓文件丟失,而且還因為成本增加,黑客會收更高的解密費用,甚至第三方可能也是個騙子,讓被攻擊者進入套娃式騙局。

新加入黨妹公司的IT小哥哥,查了查日志,發現這封勒索信是病毒程序自動生成的,IP地址是北京的一家圖書館,當然,很可能是黑客故意偽裝,假裝自己在圖書館,無法再詳細的查到源頭。

黨妹也有些后悔,“之前經常收到大家提醒我說,錄視頻不要過多暴露租房周圍的信息,這樣很危險!碑吘箵碛袕姶髠人IP的up主們每逢搬家必定會介紹自己的新房子,出門拍視頻也經常會錄制出門打車的過程作為轉場,難免被人判斷出住在一座城市的哪個區域。

發現被攻擊之后,黨妹迅速報警,民警也迅速受理,做了筆錄,聯系了網安部門進行速查評估。但是,視頻的價值很難說清楚,而且走“恰飯模式”的up主,如果一個視頻沒有恰到飯也沒有直接的經濟損失,因此無法立案。


民警建議黨妹去找數據恢復公司,但勒索信里說,最好不要去找第三方解密,因為可能被套娃詐騙或者解密不成黑客加價。

現在,黨妹也很遺憾,安全意識欠缺,給了黑客可乘之機,希望其他up主和粉絲們注意信息安全。

毫無預警,攻擊技術難度為0

經過黨妹團隊的一系列排查,大概率把目標鎖定到了一個叫Buran的勒索病毒。

黨妹團隊經過調研,對Buran做出了如下解釋:

只能攻擊Windows系統。

它會運行自身,對硬盤里的其他文件進行加密,之后留下郵箱的TXT文檔,再將自己刪除。

Buran沒有特定的密匙,無法解開,360、火絨等公司也對其束手無策。

它在攻擊之前也沒有辦法進行預警,最可怕的是此次攻擊技術難度幾乎為0:只需要知道IP地址,通過窮舉法破譯密碼,獲取一系列的權限。


看著黨妹認真復述自己被“宰”的過程,也是怪心疼的……

而對于Buran病毒入侵的詳細過程,我們也做了一下整理。

Buran勒索病毒啟動后根據參數不同,執行不同的動作,初始時應是無參數狀態啟動。主要有以下三種情況

無參數

轉移病毒到指定目錄并設置自啟動,以參數-start重啟新目錄下病毒文件,刪除當前執行目錄下病毒文件并退出;

如果以上行為失敗,則繼續執行參數-start時的行為。

參數為-start

生成用戶RSA公鑰和病毒自定義MachineID,將其寫入注冊表;

刪除數據備份;

搜索可加密磁盤,記錄到注冊表,為每個可加密磁盤啟動一個勒索病毒進程,參數-agent< IndexInReg >;

在桌面釋放勒索信息文件,使用記事本打開勒索信息文件以提醒用戶。

參數-agent

搜索參數下標對應注冊表中的磁盤,對可加密文件進行加密;

病毒中的字符都通過RC4流對稱加密算法進行加密,待解密數據前32字節為Key,其余字節為密文。

最后,還有一個勒索文件,文件會告知用戶聯系黑客進行解密的郵箱。

正式支付贖金前,用戶可以免費解密一個文件,以確認黑客可以正確解密文件。

勒索信的最后也附帶了一句“溫馨提示”:

你最好不要去找解密公司,你還有可能繼續被詐騙。


正如黨妹評價——這封勒索信“超賤的!”

網友出面拯救黨妹,量子位專訪多方專家

看到黨妹的不幸遭遇,網友們紛紛出面置評。

一位網絡攻防博士評價這種病毒:無解。

同時,這位博士強調,”和你暴露真實位置無關“,這也與黨妹視頻中的結論相悖。

也有網友提醒負責安全的IT小哥做好后續保障工作。

當然,許多網友也勸黨妹,千萬不要交錢!

而針對普通用戶,知名up主”翼王“也強調,NAS不應該直接暴露到外網,建議系統使用freenas+ZFS,同時做好備份。

對此,我們也分別采訪了360安全團隊、騰訊安全團隊的專家。

量子位:若是要將數據存儲到類似NAS這樣的服務器中,這個過程務必需要注意些什么問題?

360安全專家:

建議做個安全排查,不然這個勒索病毒可以種第一次,就有可能種第二次,連真正哪里出現的問題都不知道,何談保護呢。

安全配置要跟上,不管是專門的NAS服務器,還是自己搭建的服務器,口令安全很重要,不使用簡單口令,補丁要及時打上,不給黑客可趁之機。

另外養成良好的習慣,重要數據多備份,做數據訪問的權限控制,在出現問題之后,也能減小損失。

使用安全防護軟件,可以解決絕大部分安全問題,尤其對小白用戶,安全軟件可能是最好的解決辦法。

網絡安全外,物理安全也不應該忽視,防火防盜防水,斷電保護等等都可能對數據安全造成影響。

騰訊安全專家李鐵軍:

NAS設備是目前不少視頻工作室、UP主、攝影攝像愛好者較多使用的小型云存儲設備,大多使用Linux系統,另外也有Windows系統及樹莓派DIY的產品。

這些設備的主要特點是方便存儲、方便分享、方便多設備同步,但安全性卻被忽略了。有幾個明顯的風險點:

  • 操作系統本身的安全漏洞——并不是所有NAS設備制造商都有能力為用戶提供持續的系統加固和漏洞修復能力;
  • 軟件配置管理的漏洞——默認密碼和用戶配置的簡單密碼,都非常容易被暴力破解。
  • 在用戶環境,可能較多情況下考慮到使用的方便性,而對安全性沒有足夠認識。比較輕易將設置配置為可以通過公網訪問。這意味著,對所有攻擊者敞開了大門。

就像很久之前有人做過測試:如果一臺不打補丁的Windows電腦接入互聯網,多久會中毒,結果是只需要幾分鐘。

量子位:視頻內容工作者不要過多暴露工作環境,這是為什么?黑客會如何利用這些環境信息?

360安全專家:

這位博主被攻擊的原因,可能和這條無關。但是不要過多暴露工作環境,確實對網絡安全防護有積極意義。攻擊者可以利用一些不經意間泄露的信息,獲取到很多有價值的攻擊線索。

比如一張桌面截圖,可能就會泄露用戶的一些使用習慣,安裝了哪些軟件,使用的什么操作系統,甚至有一些人桌面會存放一些個人隱私信息相關的文檔數據,也會不經意的泄露。

通過這些泄露的信息,黑客就可以較為輕松的完成“踩點”工作。

騰訊安全專家李鐵軍:

保護隱私需要從點滴做起,比如隱藏個人信息、工作單位信息,如果使用固定IP接入,IP地址信息等等都需要保護。特別是,如果已經是大V了,意味著身價也高了,攻擊者的興趣會更高。

量子位:若是真的不幸中標,該采取什么樣的補救措施?

360安全專家:

  • 如果剛剛發現中招,建議先切斷網絡,排查受影響情況(比如有多少臺機器中招,都是什么問題)。
  • 如果被加密鎖定數據比較重要,建議做好被加密文件的備份和環境的保護,防止因為環境破壞造成無法解密等。
  • 排查中招原因(這一點可能需要尋找專業安全公司的協助),我們經常說,能中挖礦木馬的機器,就很可能再被勒索病毒攻擊。能被攻擊一次,就可能被攻擊第二第三次。意思是,平時就要注意安全防護,小的安全問題,可能就是大的安全問題的征兆。不徹底排查中招原因,也就無法徹底修復存在的安全問題,再次淪陷的可能性極高。
  • 修補存在的安全問題,加強安全意識。
  • 恢復數據和信息系統,盡力挽回損失。數據恢復的方式有很多種,根據不同情況有不同的方案,可以尋求專業公司或安全公司的幫助。

騰訊安全專家李鐵軍:

很不幸,對大多數勒索病毒攻擊,是沒有修復解密的辦法的,這也是勒索病毒產業持續危害數年的原因。

對于所有計算機用戶,或采用NAS數據存儲方案的工作室,只能采取事前防御,提高整個團隊的網絡安全意識,采用專業的安全方案做保護,對數據做好備份。

最后,兩位專家都特意強調一點:

數據備份很重要。!

勒索病毒受害者,不止于小公司

無獨有偶,最近,不少國外公司也中了勒索病毒的招。

美國制藥巨頭ExecuPharm就是其中一家。在給佛蒙特州總檢察長辦公室的一封信中寫道:

在3月13日遭到勒索軟件攻擊,并警告說,社會保障號碼、財務信息、駕駛執照、護照號碼和其他敏感數據可能已被侵入。

而事情的嚴重程度不止于此。

黑客不僅僅是加密了這家公司數據這么簡單,由于沒有打錢,他們還將數據公布到了一個與 CLOP 勒索軟件組織有關的暗網上。

隨后,經ExecuPharm的證實,CLOP正是這次攻擊的幕后黑手。

雖然因為新冠病毒爆發的影響,一些勒索軟件組織已經表態,疫情期間會放過醫療公司。

Clop也表示,它也不會攻擊醫院、療養院或慈善機構,但它認為,“ExecuPharm不具備資格,它是唯一受益于當前疫情的公司”。

(嗯……Clop的說法為何有種”劫富濟貧“的感覺……)

即使是臺積電這樣的巨頭,也中過勒索病毒的招,2018年臺積電的電腦因為中毒導致產線停機,整個過程損失達17.6億元。而原因是公司Windows 7電腦的445端口未關閉,被黑客植入病毒。

無論公司大小,粉絲多少,數據安全大于天,防患意識不能無!

不說了,我要去給獨享資源們挨個備份一下了。

參考鏈接:

https://www.bilibili.com/video/BV1ii4y1t7i1
https://www.bilibili.com/video/BV1EV411f72u
https://www.bilibili.com/video/BV1CJ411X7xy
https://techcrunch.com/2020/04/27/execupharm-clop-ransomware/
https://bbs.#/thread-15826036-1-1.html

https://m.weibo.cn/6105753431/4492812131224447

— 完 —

量子位 QbitAI · 頭條號簽約

關注我們,第一時間獲知前沿科技動態



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6820631916207669764/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人
2

路過

雞蛋

剛表態過的朋友 (2 人)

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 浙江6+1开奖结果体彩规则 北京pk10投注 最新股市行情分析 江西11选五5怎么玩 股权代码和股票代码一样吗 广西快乐双彩官网 上海十一选五一定牛漏号 赛车比赛视频 好彩1开奖记录 保定哪期货配资做得好