本文經(jīng)AI新媒體量子位（公眾號ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請聯(lián)系出處。

最近真是太難了，要防新冠病毒，還要防勒索病毒。

昨天，B站556萬粉絲的up主「機(jī)智的黨妹」就發(fā)視頻說，自己被勒索病毒攻擊了。

她正在制作的數(shù)百個GB的視頻素材文件，全都被病毒加密綁架，黑客只留下一封勒索信：

想拿回這些素材？乖乖交贖金吧。

根據(jù)B站數(shù)據(jù)可視化up主「貍子LePtC」的統(tǒng)計，截至2020年4月3日，黨妹在B站所有up主里粉絲排名達(dá)到第13。

考慮到前面有三個官方賬號，黨妹基本上可以說是B站排名前十的第三方up主了，她的B站粉絲數(shù)比李子柒、郭杰瑞、美食作家王剛、何同學(xué)、朱一旦、羅翔老師、馮提莫、半佛仙人這些在多個平臺火出圈的up主都要多。

而且B站精美的視頻生產(chǎn)成本高、生產(chǎn)時間長，因此囤好的素材被加密后，黨妹這位百萬up主準(zhǔn)備的許多視頻都暫時無法發(fā)布了。

換成流量的話，按照黨妹近期每個視頻300萬播放量來預(yù)計，大概是幾百萬乃至千萬的流量損失。

唉，寫個10W+都要驚喜一下的文字創(chuàng)作者，感到心在滴血。

你可能覺得，粉絲基數(shù)在這里，再拍一些視頻也一樣會有流量。但黨妹單個視頻的成本也相當(dāng)高。

根據(jù)B站up主、前《英雄聯(lián)盟》LPL視頻制作團(tuán)隊成員「-LKs-」的分析，黨妹不少視頻的復(fù)雜程度接近小成本商業(yè)片，團(tuán)隊差旅、場地、設(shè)備、服化道等成本加起來，有些視頻制作成本能達(dá)到6位數(shù)。

就算疫情期間不能出門拍大片，近期更新的這類唱跳視頻的制作成本可能也不亞于小規(guī)模的MV了。

對從事內(nèi)容制作的小微企業(yè)來說，疫情本身就對自身業(yè)務(wù)有一些影響，大成本內(nèi)容素材丟失就更是雪上加霜了。

搭好NAS第一天就被黑了

黨妹介紹，為了方便存儲使用數(shù)百個GB的的視頻素材，她的公司花了十幾萬在內(nèi)部搭建了一個NAS系統(tǒng)，相當(dāng)于一個公司內(nèi)部人人可以訪問公共硬盤，或者說私有云。

NAS搭建好測試一段時間后，投入使用的第一天就被黑客攻擊了。

黑客用的是一種叫做Buran的勒索病毒，它專門攻擊Windows系統(tǒng)。

被攻擊之后，NAS里的所有文件都被改成了奇怪的格式，無法打開使用，而且黑客還在文件夾里留下了一封.txt格式的勒索信：

!!!ALL YOUR FILES ARE ENCRYPTED!!!!!!你所有的文件都被加密了!!!

信中說，這個NAS所有的文檔、照片、數(shù)據(jù)等均已被加密，不要試圖自己解密，恢復(fù)文件的唯一辦法是購買一個獨一無二的密匙，只有這個密匙才能解密這些文件。

如果被攻擊者想要驗證黑客說的是不是真的，那就要給黑客發(fā)郵件，免費解開一個文件來證明。當(dāng)然，不能是重要文件，不然黑客怎么賺錢。

黑客給被攻擊者留下了一串ID，需要給兩個特定的郵箱發(fā)郵件聯(lián)系，并通過這串ID來表明身份，與黑客談判才能解開文件。

而且黑客還提醒，不要重命名這些文件，也不要用第三方軟件解密，不僅會有可能讓文件丟失，而且還因為成本增加，黑客會收更高的解密費用，甚至第三方可能也是個騙子，讓被攻擊者進(jìn)入套娃式騙局。

新加入黨妹公司的IT小哥哥，查了查日志，發(fā)現(xiàn)這封勒索信是病毒程序自動生成的，IP地址是北京的一家圖書館，當(dāng)然，很可能是黑客故意偽裝，假裝自己在圖書館，無法再詳細(xì)的查到源頭。

黨妹也有些后悔，“之前經(jīng)常收到大家提醒我說，錄視頻不要過多暴露租房周圍的信息，這樣很危險。”畢竟擁有強(qiáng)大個人IP的up主們每逢搬家必定會介紹自己的新房子，出門拍視頻也經(jīng)常會錄制出門打車的過程作為轉(zhuǎn)場，難免被人判斷出住在一座城市的哪個區(qū)域。

發(fā)現(xiàn)被攻擊之后，黨妹迅速報警，民警也迅速受理，做了筆錄，聯(lián)系了網(wǎng)安部門進(jìn)行速查評估。但是，視頻的價值很難說清楚，而且走“恰飯模式”的up主，如果一個視頻沒有恰到飯也沒有直接的經(jīng)濟(jì)損失，因此無法立案。

民警建議黨妹去找數(shù)據(jù)恢復(fù)公司，但勒索信里說，最好不要去找第三方解密，因為可能被套娃詐騙或者解密不成黑客加價。

現(xiàn)在，黨妹也很遺憾，安全意識欠缺，給了黑客可乘之機(jī)，希望其他up主和粉絲們注意信息安全。

毫無預(yù)警，攻擊技術(shù)難度為0

經(jīng)過黨妹團(tuán)隊的一系列排查，大概率把目標(biāo)鎖定到了一個叫Buran的勒索病毒。

黨妹團(tuán)隊經(jīng)過調(diào)研，對Buran做出了如下解釋：

只能攻擊Windows系統(tǒng)。

它會運行自身，對硬盤里的其他文件進(jìn)行加密，之后留下郵箱的TXT文檔，再將自己刪除。

Buran沒有特定的密匙，無法解開，360、火絨等公司也對其束手無策。

它在攻擊之前也沒有辦法進(jìn)行預(yù)警，最可怕的是此次攻擊技術(shù)難度幾乎為0：只需要知道IP地址，通過窮舉法破譯密碼，獲取一系列的權(quán)限。

看著黨妹認(rèn)真復(fù)述自己被“宰”的過程，也是怪心疼的……

而對于Buran病毒入侵的詳細(xì)過程，我們也做了一下整理。

Buran勒索病毒啟動后根據(jù)參數(shù)不同，執(zhí)行不同的動作，初始時應(yīng)是無參數(shù)狀態(tài)啟動。主要有以下三種情況：

無參數(shù)

轉(zhuǎn)移病毒到指定目錄并設(shè)置自啟動，以參數(shù)-start重啟新目錄下病毒文件，刪除當(dāng)前執(zhí)行目錄下病毒文件并退出；

如果以上行為失敗，則繼續(xù)執(zhí)行參數(shù)-start時的行為。

參數(shù)為-start

生成用戶RSA公鑰和病毒自定義MachineID，將其寫入注冊表；

刪除數(shù)據(jù)備份；

搜索可加密磁盤，記錄到注冊表，為每個可加密磁盤啟動一個勒索病毒進(jìn)程，參數(shù)-agent< IndexInReg >；

在桌面釋放勒索信息文件，使用記事本打開勒索信息文件以提醒用戶。

參數(shù)-agent

搜索參數(shù)下標(biāo)對應(yīng)注冊表中的磁盤，對可加密文件進(jìn)行加密；

病毒中的字符都通過RC4流對稱加密算法進(jìn)行加密，待解密數(shù)據(jù)前32字節(jié)為Key，其余字節(jié)為密文。

最后，還有一個勒索文件，文件會告知用戶聯(lián)系黑客進(jìn)行解密的郵箱。

正式支付贖金前，用戶可以免費解密一個文件，以確認(rèn)黑客可以正確解密文件。

勒索信的最后也附帶了一句“溫馨提示”：

你最好不要去找解密公司，你還有可能繼續(xù)被詐騙。

正如黨妹評價——這封勒索信“超賤的！”

網(wǎng)友出面拯救黨妹，量子位專訪多方專家

看到黨妹的不幸遭遇，網(wǎng)友們紛紛出面置評。

一位網(wǎng)絡(luò)攻防博士評價這種病毒：無解。

同時，這位博士強(qiáng)調(diào)，”和你暴露真實位置無關(guān)“，這也與黨妹視頻中的結(jié)論相悖。

也有網(wǎng)友提醒負(fù)責(zé)安全的IT小哥做好后續(xù)保障工作。

當(dāng)然，許多網(wǎng)友也勸黨妹，千萬不要交錢！

而針對普通用戶，知名up主”翼王“也強(qiáng)調(diào)，NAS不應(yīng)該直接暴露到外網(wǎng)，建議系統(tǒng)使用freenas+ZFS，同時做好備份。

對此，我們也分別采訪了360安全團(tuán)隊、騰訊安全團(tuán)隊的專家。

量子位：若是要將數(shù)據(jù)存儲到類似NAS這樣的服務(wù)器中，這個過程務(wù)必需要注意些什么問題？

360安全專家：

建議做個安全排查，不然這個勒索病毒可以種第一次，就有可能種第二次，連真正哪里出現(xiàn)的問題都不知道，何談保護(hù)呢。

安全配置要跟上，不管是專門的NAS服務(wù)器，還是自己搭建的服務(wù)器，口令安全很重要，不使用簡單口令，補(bǔ)丁要及時打上，不給黑客可趁之機(jī)。

另外養(yǎng)成良好的習(xí)慣，重要數(shù)據(jù)多備份，做數(shù)據(jù)訪問的權(quán)限控制，在出現(xiàn)問題之后，也能減小損失。

使用安全防護(hù)軟件,可以解決絕大部分安全問題，尤其對小白用戶，安全軟件可能是最好的解決辦法。

網(wǎng)絡(luò)安全外，物理安全也不應(yīng)該忽視，防火防盜防水，斷電保護(hù)等等都可能對數(shù)據(jù)安全造成影響。

騰訊安全專家李鐵軍：

NAS設(shè)備是目前不少視頻工作室、UP主、攝影攝像愛好者較多使用的小型云存儲設(shè)備，大多使用Linux系統(tǒng)，另外也有Windows系統(tǒng)及樹莓派DIY的產(chǎn)品。

這些設(shè)備的主要特點是方便存儲、方便分享、方便多設(shè)備同步，但安全性卻被忽略了。有幾個明顯的風(fēng)險點：

• 操作系統(tǒng)本身的安全漏洞——并不是所有NAS設(shè)備制造商都有能力為用戶提供持續(xù)的系統(tǒng)加固和漏洞修復(fù)能力；
• 軟件配置管理的漏洞——默認(rèn)密碼和用戶配置的簡單密碼，都非常容易被暴力破解。
• 在用戶環(huán)境，可能較多情況下考慮到使用的方便性，而對安全性沒有足夠認(rèn)識。比較輕易將設(shè)置配置為可以通過公網(wǎng)訪問。這意味著，對所有攻擊者敞開了大門。

就像很久之前有人做過測試：如果一臺不打補(bǔ)丁的Windows電腦接入互聯(lián)網(wǎng)，多久會中毒，結(jié)果是只需要幾分鐘。

量子位：視頻內(nèi)容工作者不要過多暴露工作環(huán)境，這是為什么？黑客會如何利用這些環(huán)境信息？

360安全專家：

這位博主被攻擊的原因，可能和這條無關(guān)。但是不要過多暴露工作環(huán)境，確實對網(wǎng)絡(luò)安全防護(hù)有積極意義。攻擊者可以利用一些不經(jīng)意間泄露的信息，獲取到很多有價值的攻擊線索。

比如一張桌面截圖，可能就會泄露用戶的一些使用習(xí)慣，安裝了哪些軟件，使用的什么操作系統(tǒng)，甚至有一些人桌面會存放一些個人隱私信息相關(guān)的文檔數(shù)據(jù)，也會不經(jīng)意的泄露。

通過這些泄露的信息，黑客就可以較為輕松的完成“踩點”工作。

騰訊安全專家李鐵軍：

保護(hù)隱私需要從點滴做起，比如隱藏個人信息、工作單位信息，如果使用固定IP接入，IP地址信息等等都需要保護(hù)。特別是，如果已經(jīng)是大V了，意味著身價也高了，攻擊者的興趣會更高。

量子位：若是真的不幸中標(biāo)，該采取什么樣的補(bǔ)救措施？

360安全專家：

• 如果剛剛發(fā)現(xiàn)中招，建議先切斷網(wǎng)絡(luò)，排查受影響情況（比如有多少臺機(jī)器中招，都是什么問題）。
• 如果被加密鎖定數(shù)據(jù)比較重要，建議做好被加密文件的備份和環(huán)境的保護(hù)，防止因為環(huán)境破壞造成無法解密等。
• 排查中招原因(這一點可能需要尋找專業(yè)安全公司的協(xié)助)，我們經(jīng)常說，能中挖礦木馬的機(jī)器，就很可能再被勒索病毒攻擊。能被攻擊一次，就可能被攻擊第二第三次。意思是，平時就要注意安全防護(hù)，小的安全問題，可能就是大的安全問題的征兆。不徹底排查中招原因，也就無法徹底修復(fù)存在的安全問題，再次淪陷的可能性極高。
• 修補(bǔ)存在的安全問題，加強(qiáng)安全意識。
• 恢復(fù)數(shù)據(jù)和信息系統(tǒng)，盡力挽回?fù)p失。數(shù)據(jù)恢復(fù)的方式有很多種，根據(jù)不同情況有不同的方案，可以尋求專業(yè)公司或安全公司的幫助。

騰訊安全專家李鐵軍：

很不幸，對大多數(shù)勒索病毒攻擊，是沒有修復(fù)解密的辦法的，這也是勒索病毒產(chǎn)業(yè)持續(xù)危害數(shù)年的原因。

對于所有計算機(jī)用戶，或采用NAS數(shù)據(jù)存儲方案的工作室，只能采取事前防御，提高整個團(tuán)隊的網(wǎng)絡(luò)安全意識，采用專業(yè)的安全方案做保護(hù)，對數(shù)據(jù)做好備份。

最后，兩位專家都特意強(qiáng)調(diào)一點：

數(shù)據(jù)備份很重要！！！

勒索病毒受害者，不止于小公司

無獨有偶，最近，不少國外公司也中了勒索病毒的招。

美國制藥巨頭ExecuPharm就是其中一家。在給佛蒙特州總檢察長辦公室的一封信中寫道：

在3月13日遭到勒索軟件攻擊，并警告說，社會保障號碼、財務(wù)信息、駕駛執(zhí)照、護(hù)照號碼和其他敏感數(shù)據(jù)可能已被侵入。

而事情的嚴(yán)重程度不止于此。

黑客不僅僅是加密了這家公司數(shù)據(jù)這么簡單，由于沒有打錢，他們還將數(shù)據(jù)公布到了一個與 CLOP 勒索軟件組織有關(guān)的暗網(wǎng)上。

隨后，經(jīng)ExecuPharm的證實，CLOP正是這次攻擊的幕后黑手。

雖然因為新冠病毒爆發(fā)的影響，一些勒索軟件組織已經(jīng)表態(tài)，疫情期間會放過醫(yī)療公司。

Clop也表示，它也不會攻擊醫(yī)院、療養(yǎng)院或慈善機(jī)構(gòu)，但它認(rèn)為，“ExecuPharm不具備資格，它是唯一受益于當(dāng)前疫情的公司”。

(嗯……Clop的說法為何有種”劫富濟(jì)貧“的感覺……)

即使是臺積電這樣的巨頭，也中過勒索病毒的招，2018年臺積電的電腦因為中毒導(dǎo)致產(chǎn)線停機(jī)，整個過程損失達(dá)17.6億元。而原因是公司W(wǎng)indows 7電腦的445端口未關(guān)閉，被黑客植入病毒。

無論公司大小，粉絲多少，數(shù)據(jù)安全大于天，防患意識不能無！

不說了，我要去給獨享資源們挨個備份一下了。