「我被勒索了」——Buran病毒

一、小白劇場

小白：大東哥哥，我被勒索了！

大東：你……你怎麼啦？

小白：交出贖金，救回人質！

大東：無趣！

小白：嘿嘿，大東哥哥，你最近有沒有刷到一個關於「機智的黨妹」的視頻？

「黨妹」數據被勒索頁面（圖片來自網絡）

大東：我看到了，最近挺火的，現在網絡真的好可怕！以後你上網要注意一些，知道沒有？

小白：OK，我會注意的，可是我看到最後，此次攻擊與Buran勒索病毒有關，是怎麼一回事？自己想著想著就有點頭疼。

大東：是的，據其公司IT人員排查後發現，黑客用的是一種叫做Buran勒索病毒來進行攻擊。

小白：看到這個病毒就來氣！

二、話說事件

大東：小白同學，對於「黨妹」事件你有什麼感想？

小白：我只想多多學習網絡安全知識，啥都不敢想。

大東：安全專家給我們的意見就是：提高安全意識，不要讓病毒程序有執行的機會。

Buran病毒植入警告（圖片來自網絡）

小白：這個道理我也會呀！

大東：勒索病毒主要是利用漏洞傳播，通過加密數據文件來勒索。它從2017年開始就大規模出現了，逐漸形成了一個產業。所謂產業就是說有一批人職業做這個，以此謀生。黨妹遭遇的Buran病毒是比較初級的病毒，傳播途徑很傳統，主要利用郵件附件傳播，附件通常是一個Word或者Excel文件。

小白：我覺得勒索病毒還是值得我們對其加大關注。

大東：勒索病毒加密的文件基本上沒辦法破解，最主要是很多加密方法在密碼學上是安全的，也就是密碼很難破解，計算機需要運算非常長的時間，時間長到無法接受，不如放棄嘗試。

小白：啊……那我到一邊涼快去啦！

三、大話始末

大東：說到勒索病毒，真是令我頭疼！

小白：大東哥哥怎麼啦？你今天是不舒服嗎？

大東：你……我想表達的意思是，勒索病毒令我腦袋疼！

小白：嘻嘻！這樣呀，那勒索病毒還真是令人頭疼呢！

大東：勒索病毒呢，是一種新型電腦病毒，主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。

電腦植入勒索病毒（圖片來自網絡）

小白：有這麼誇張的嘛？

大東：誇不誇張我不知道，我只知道這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

小白：那這個Buran勒索病毒呢？

大東：Buran勒索病毒首次出現在去年5月份，被認為是Jumper勒索病毒的變種樣本，同時Vega Locker勒索病毒是該家族最初的起源，由於其豐厚的利潤，使得迅速在全球範圍內傳播感染。

小白：我在一些網站上也經常看到這些，可想而知這個勒索病毒是一個非常火的名詞。

大東：據某安全實驗室監測和和評估，從2018年初到9月中旬，勒索病毒總計對超過200萬臺終端發起過攻擊，攻擊次數高達1700萬餘次，且整體呈上升趨勢。2017年12月13日，「勒索病毒」入選國家語言資源監測與研究中心發布的「2017年度中國媒體十大新詞語」。

小白：Oh my god！這個情況在我的意料範圍之外！

大東：2020年4月，勒索病毒「WannaRen」開始傳播，目前普通的殺毒軟體無法攔截。

小白：「WannaRen」又是什麼？

大東：WannaRen，也是一種勒索病毒，加密Windows系統中幾乎所有文件，後綴為WannaRen。2020年4月，勒索病毒作者「自首」，將解密密鑰發給了一位安全實驗室用戶，並要求用戶轉發給該安全實驗室，實驗室收到密鑰後緊急製作解密工具。

WannaRen病毒清理（圖片來自網絡）

小白：那結果怎麼樣？

大東：可喜的是2020年4月9日，安全實驗室成功製作解密工具，「WannaRen」勒索病毒現已停止傳播。

小白：為網絡安全人員點讚！

大東：Buran病毒的操作簡單，只要知道被攻擊者的IP位址，就可以通過窮舉法，破譯密碼，獲取一系列的權限。

小白：這麼厲害！在它攻擊之前，我們會不會察覺到點什麼？

大東：Buran病毒攻擊之前是毫無預警的，所以大家更要提高警惕。

小白：好的，我要告訴朋友們，一定要多多學習關於網絡安全的一些知識。

四、小白內心說

小白：面對病毒的勒索，我們可以用什麼方法去預防它的攻擊？

大東：面對大部分的病毒勒索，我們受害者能做的似乎只有兩種選擇：交出贖金和尋找解密公司幫助。

小白：「黨妹」公司的IT小哥通過日誌發現，這個是由病毒程序自動生成並留在那裡的，查到的地址是在北京的一家圖書館，我們可以去舉報他呀！

大東：小白同學還是把事情想得太簡單了……你一會回去再看看那個報告，那裡顯示這個IP位址可能是假的。像這種黑客攻擊，一般都不會受到處罰，除非你能證明他侵犯了你的商業秘密。

小白：我……我！

小白：可是交出贖金和尋找解密公司幫助這兩種方法也只是在表面上解決了問題，在背後還是存在不確因素啊。

大東：是的，所以我們不如在事前就提高預防能力，從安全技術和安全管理兩方面入手。

病毒防火牆（圖片來自網絡）

小白：目前看來也只能這樣了，我們可以告誡人們不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊和儘量不要點擊office宏運行提示，避免來自office組件的病毒感染。

大東：此外，升級到最新的防病毒等安全特徵庫和定期異地備份計算機中重要的數據和文件都可以基本預防勒索病毒的攻擊。

小白：學到了！

參考文獻：

1. 火爐安全：確診了！網傳WannaRen勒索病毒樣本實為解密工具

https://www.huorong.cn/info/1586325928451.html

2. 百度百科：勒索病毒

https://baike.baidu.com/item/%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92/16623990?fr=aladdin

3. 百度百科：WannaRrn

https://baike.baidu.com/item/WannaRen/49749496

4. 搜狐：預防住了新冠病毒，卻沒逃過勒索病毒！

https://www.sohu.com/a/392196766_99926014

5. 新浪網：B站500萬粉up主黨妹被黑客勒索：交錢贖「人質」，她只能認倒黴嗎？http://news.sina.com.cn/o/2020-04-29/doc-iircuyvi0530291.shtml

來源：中國科學院計算技術研究所