B站500萬粉up主黨妹被勒索:交錢贖「人」!專家:無解

來源：創事記

歡迎關注「創事記」微信訂閱號：sinachuangshiji

文/郭一璞、十三

來源：量子位（ID:QbitAI）

原標題：B站500萬粉up主黨妹被黑客勒索：交錢贖「人」！頂級安全專家：無解

最近真是太難了，要防新冠病毒，還要防勒索病毒。

昨天，B站556萬粉絲的up主「機智的黨妹」就發視頻說，自己被勒索病毒攻擊了。

她正在製作的數百個GB的視頻素材文件，全都被病毒加密綁架，黑客只留下一封勒索信：

想拿回這些素材？乖乖交贖金吧。

根據B站數據可視化up主「狸子LePtC」的統計，截至2020年4月3日，黨妹在B站所有up主裡粉絲排名達到第13。

考慮到前面有三個官方帳號，黨妹基本上可以說是B站排名前十的第三方up主了，她的B站粉絲數比李子柒、郭傑瑞、美食作家王剛、何同學、朱一旦、羅翔老師、馮提莫、半佛仙人這些在多個平臺火出圈的up主都要多。

而且B站精美的視頻生產成本高、生產時間長，因此囤好的素材被加密後，黨妹這位百萬up主準備的許多視頻都暫時無法發布了。

換成流量的話，按照黨妹近期每個視頻300萬播放量來預計，大概是幾百萬乃至千萬的流量損失。

唉，寫個10W+都要驚喜一下的文字創作者，感到心在滴血。

你可能覺得，粉絲基數在這裡，再拍一些視頻也一樣會有流量。但黨妹單個視頻的成本也相當高。

根據B站up主、前《英雄聯盟》LPL視頻製作團隊成員「-LKs-」的分析，黨妹不少視頻的複雜程度接近小成本商業片，團隊差旅、場地、設備、服化道等成本加起來，有些視頻製作成本能達到6位數。

就算疫情期間不能出門拍大片，近期更新的這類唱跳視頻的製作成本可能也不亞於小規模的MV了。

對從事內容製作的小微企業來說，疫情本身就對自身業務有一些影響，大成本內容素材丟失就更是雪上加霜了。

搭好NAS第一天就被黑了

黨妹介紹，為了方便存儲使用數百個GB的的視頻素材，她的公司花了十幾萬在內部搭建了一個NAS系統，相當於一個公司內部人人可以訪問公共硬碟，或者說私有雲。

NAS搭建好測試一段時間後，投入使用的第一天就被黑客攻擊了。

黑客用的是一種叫做Buran的勒索病毒，它專門攻擊Windows系統。

被攻擊之後，NAS裡的所有文件都被改成了奇怪的格式，無法打開使用，而且黑客還在文件夾裡留下了一封.txt格式的勒索信：

!!!ALL YOUR FILES ARE ENCRYPTED!!! !!!你所有的文件都被加密了!!!

信中說，這個NAS所有的文檔、照片、數據等均已被加密，不要試圖自己解密，恢復文件的唯一辦法是購買一個獨一無二的密匙，只有這個密匙才能解密這些文件。

如果被攻擊者想要驗證黑客說的是不是真的，那就要給黑客發郵件，免費解開一個文件來證明。

當然，不能是重要文件，不然黑客怎麼賺錢。

黑客給被攻擊者留下了一串ID，需要給兩個特定的郵箱發郵件聯繫，並通過這串ID來表明身份，與黑客談判才能解開文件。

而且黑客還提醒，不要重命名這些文件，也不要用第三方軟體解密，不僅會有可能讓文件丟失，而且還因為成本增加，黑客會收更高的解密費用，甚至第三方可能也是個騙子，讓被攻擊者進入套娃式騙局。

新加入黨妹公司的IT小哥哥，查了查日誌，發現這封勒索信是病毒程序自動生成的，IP位址是北京的一家圖書館，當然，很可能是黑客故意偽裝，假裝自己在圖書館，無法再詳細的查到源頭。

黨妹也有些後悔，「之前經常收到大家提醒我說，錄視頻不要過多暴露租房周圍的信息，這樣很危險。」畢竟擁有強大個人IP的up主們每逢搬家必定會介紹自己的新房子，出門拍視頻也經常會錄製出門打車的過程作為轉場，難免被人判斷出住在一座城市的哪個區域。

發現被攻擊之後，黨妹迅速報警，民警也迅速受理，做了筆錄，聯繫了網安部門進行速查評估。但是，視頻的價值很難說清楚，而且走「恰飯模式」的up主，如果一個視頻沒有恰到飯也沒有直接的經濟損失，因此無法立案。

民警建議黨妹去找數據恢復公司，但勒索信裡說，最好不要去找第三方解密，因為可能被套娃詐騙或者解密不成黑客加價。

現在，黨妹也很遺憾，安全意識欠缺，給了黑客可乘之機，希望其他up主和粉絲們注意信息安全。

毫無預警，攻擊技術難度為0

經過黨妹團隊的一系列排查，大概率把目標鎖定到了一個叫Buran的勒索病毒。

黨妹團隊經過調研，對Buran做出了如下解釋：

只能攻擊Windows系統。

它會運行自身，對硬碟裡的其他文件進行加密，之後留下郵箱的TXT文檔，再將自己刪除。

Buran沒有特定的密匙，無法解開，360、火絨等公司也對其束手無策。

它在攻擊之前也沒有辦法進行預警，最可怕的是此次攻擊技術難度幾乎為0：只需要知道IP位址，通過窮舉法破譯密碼，獲取一系列的權限。

看著黨妹認真複述自己被「宰」的過程，也是怪心疼的……

而對於Buran病毒入侵的詳細過程，我們也做了一下整理。

Buran勒索病毒啟動後根據參數不同，執行不同的動作，初始時應是無參數狀態啟動。主要有以下三種情況：

無參數

轉移病毒到指定目錄並設置自啟動，以參數-start重啟新目錄下病毒文件，刪除當前執行目錄下病毒文件並退出；

如果以上行為失敗，則繼續執行參數-start時的行為。

參數為-start

生成用戶RSA公鑰和病毒自定義MachineID，將其寫入註冊表；

刪除數據備份；

搜索可加密磁碟，記錄到註冊表，為每個可加密磁碟啟動一個勒索病毒進程，參數-agent< IndexInReg >；

在桌面釋放勒索信息文件，使用記事本打開勒索信息文件以提醒用戶。

參數-agent

搜索參數下標對應註冊表中的磁碟，對可加密文件進行加密；

病毒中的字符都通過RC4流對稱加密算法進行加密，待解密數據前32位元組為Key，其餘字節為密文。

最後，還有一個勒索文件，文件會告知用戶聯繫黑客進行解密的郵箱。

正式支付贖金前，用戶可以免費解密一個文件，以確認黑客可以正確解密文件。

勒索信的最後也附帶了一句「溫馨提示」：

你最好不要去找解密公司，你還有可能繼續被詐騙。

正如黨妹評價——這封勒索信「超賤的！」

網友出面拯救黨妹，量子位專訪多方專家

看到黨妹的不幸遭遇，網友們紛紛出面置評。

一位網絡攻防博士評價這種病毒：無解。

同時，這位博士強調，」和你暴露真實位置無關「，這也與黨妹視頻中的結論相悖。

也有網友提醒負責安全的IT小哥做好後續保障工作。

當然，許多網友也勸黨妹，千萬不要交錢！

而針對普通用戶，知名up主」翼王「也強調，NAS不應該直接暴露到外網，建議系統使用freenas+ZFS，同時做好備份。

對此，我們也分別採訪了360安全團隊、騰訊安全團隊的專家。

量子位：若是要將數據存儲到類似NAS這樣的伺服器中，這個過程務必需要注意些什麼問題？

360安全專家：

建議做個安全排查，不然這個勒索病毒可以種第一次，就有可能種第二次，連真正哪裡出現的問題都不知道，何談保護呢。

安全配置要跟上，不管是專門的NAS伺服器，還是自己搭建的伺服器，口令安全很重要，不使用簡單口令，補丁要及時打上，不給黑客可趁之機。

另外養成良好的習慣，重要數據多備份，做數據訪問的權限控制，在出現問題之後，也能減小損失。

使用安全防護軟體,可以解決絕大部分安全問題，尤其對小白用戶，安全軟體可能是最好的解決辦法。

網絡安全外，物理安全也不應該忽視，防火防盜防水，斷電保護等等都可能對數據安全造成影響。

騰訊安全專家李鐵軍：

NAS設備是目前不少視頻工作室、UP主、攝影攝像愛好者較多使用的小型雲存儲設備，大多使用Linux系統，另外也有Windows系統及樹莓派DIY的產品。

這些設備的主要特點是方便存儲、方便分享、方便多設備同步，但安全性卻被忽略了。有幾個明顯的風險點：

作業系統本身的安全漏洞——並不是所有NAS設備製造商都有能力為用戶提供持續的系統加固和漏洞修復能力；軟體配置管理的漏洞——默認密碼和用戶配置的簡單密碼，都非常容易被暴力破解。在用戶環境，可能較多情況下考慮到使用的方便性，而對安全性沒有足夠認識。比較輕易將設置配置為可以通過公網訪問。這意味著，對所有攻擊者敞開了大門。　　就像很久之前有人做過測試：如果一臺不打補丁的Windows電腦接入網際網路，多久會中毒，結果是只需要幾分鐘。

量子位：視頻內容工作者不要過多暴露工作環境，這是為什麼？黑客會如何利用這些環境信息？

360安全專家：

這位博主被攻擊的原因，可能和這條無關。但是不要過多暴露工作環境，確實對網絡安全防護有積極意義。攻擊者可以利用一些不經意間洩露的信息，獲取到很多有價值的攻擊線索。

比如一張桌面截圖，可能就會洩露用戶的一些使用習慣，安裝了哪些軟體，使用的什麼作業系統，甚至有一些人桌面會存放一些個人隱私信息相關的文檔數據，也會不經意的洩露。

通過這些洩露的信息，黑客就可以較為輕鬆的完成「踩點」工作。

騰訊安全專家李鐵軍：

保護隱私需要從點滴做起，比如隱藏個人信息、工作單位信息，如果使用固定IP接入，IP位址信息等等都需要保護。特別是，如果已經是大V了，意味著身價也高了，攻擊者的興趣會更高。

量子位：若是真的不幸中標，該採取什麼樣的補救措施？

360安全專家：

如果剛剛發現中招，建議先切斷網絡，排查受影響情況（比如有多少臺機器中招，都是什麼問題）。如果被加密鎖定數據比較重要，建議做好被加密文件的備份和環境的保護，防止因為環境破壞造成無法解密等。排查中招原因(這一點可能需要尋找專業安全公司的協助)，我們經常說，能中挖礦木馬的機器，就很可能再被勒索病毒攻擊。能被攻擊一次，就可能被攻擊第二第三次。意思是，平時就要注意安全防護，小的安全問題，可能就是大的安全問題的徵兆。不徹底排查中招原因，也就無法徹底修復存在的安全問題，再次淪陷的可能性極高。修補存在的安全問題，加強安全意識。恢復數據和信息系統，盡力挽回損失。數據恢復的方式有很多種，根據不同情況有不同的方案，可以尋求專業公司或安全公司的幫助。　　騰訊安全專家李鐵軍：

很不幸，對大多數勒索病毒攻擊，是沒有修復解密的辦法的，這也是勒索病毒產業持續危害數年的原因。

對於所有計算機用戶，或採用NAS數據存儲方案的工作室，只能採取事前防禦，提高整個團隊的網絡安全意識，採用專業的安全方案做保護，對數據做好備份。

最後，兩位專家都特意強調一點：

數據備份很重要！！！

勒索病毒受害者，不止於小公司

無獨有偶，最近，不少國外公司也中了勒索病毒的招。

美國製藥巨頭ExecuPharm就是其中一家。在給佛蒙特州總檢察長辦公室的一封信中寫道：

在3月13日遭到勒索軟體攻擊，並警告說，社會保障號碼、財務信息、駕駛執照、護照號碼和其他敏感數據可能已被侵入。

而事情的嚴重程度不止於此。

黑客不僅僅是加密了這家公司數據這麼簡單，由於沒有打錢，他們還將數據公布到了一個與 CLOP 勒索軟體組織有關的暗網上。

隨後，經ExecuPharm的證實，CLOP正是這次攻擊的幕後黑手。

雖然因為新冠病毒爆發的影響，一些勒索軟體組織已經表態，疫情期間會放過醫療公司。

Clop也表示，它也不會攻擊醫院、療養院或慈善機構，但它認為，「ExecuPharm不具備資格，它是唯一受益於當前疫情的公司」。

(嗯……Clop的說法為何有種」劫富濟貧「的感覺……)

即使是臺積電這樣的巨頭，也中過勒索病毒的招，2018年臺積電的電腦因為中毒導致產線停機，整個過程損失達17.6億元。而原因是公司Windows 7電腦的445埠未關閉，被黑客植入病毒。

無論公司大小，粉絲多少，數據安全大於天，防患意識不能無！