前段時間,某站一個556萬粉絲的up主「機智的黨妹」就發視頻說,自己被勒索病毒攻擊了。
她正在製作的數百個GB的視頻素材文件,全都被病毒加密綁架,黑客只留下一封勒索信:
想拿回這些素材?乖乖交贖金吧。
根據數據可視化統計,截至2020年4月3日,黨妹在所有up主裏粉絲排名達到第13。
考慮到前面有三個官方賬號,黨妹基本上可以說是排名前十的第三方up主了,她的粉絲數比李子柒、郭傑瑞、美食作家王剛、何同學、朱一旦、羅翔老師、馮提莫、半佛仙人這些在多個平臺火出圈的up主都要多。
而且B站精美的視頻生產成本高、生產時間長,因此囤好的素材被加密後,黨妹這位百萬up主準備的許多視頻都暫時無法發佈了。
換成流量的話,按照黨妹近期每個視頻300萬播放量來預計,大概是幾百萬乃至千萬的流量損失。
唉,寫個10W+都要驚喜一下的文字創作者,感到心在滴血。
你可能覺得,粉絲基數在這裏,再拍一些視頻也一樣會有流量。但黨妹單個視頻的成本也相當高。
也有人分析,黨妹不少視頻的複雜程度接近小成本商業片,團隊差旅、場地、設備、服化道等成本加起來,有些視頻製作成本能達到6位數。
就算疫情期間不能出門拍大片,近期更新的這類唱跳視頻的製作成本可能也不亞於小規模的MV了。
對從事內容製作的小微企業來說,疫情本身就對自身業務有一些影響,大成本內容素材丟失就更是雪上加霜了。
搭好NAS第一天就被黑了
黨妹介紹,爲了方便存儲使用數百個GB的的視頻素材,她的公司花了十幾萬在內部搭建了一個NAS系統,相當於一個公司內部人人可以訪問公共硬盤,或者說私有云。
NAS搭建好測試一段時間後,投入使用的第一天就被黑客攻擊了。
黑客用的是一種叫做Buran的勒索病毒,它專門攻擊Windows系統。
被攻擊之後,NAS裏的所有文件都被改成了奇怪的格式,無法打開使用,而且黑客還在文件夾裏留下了一封.txt格式的勒索信:
!!!ALL YOUR FILES ARE ENCRYPTED!!!
!!!你所有的文件都被加密了!!!
信中說,這個NAS所有的文檔、照片、數據等均已被加密,不要試圖自己解密,恢復文件的唯一辦法是購買一個獨一無二的密匙,只有這個密匙才能解密這些文件。
如果被攻擊者想要驗證黑客說的是不是真的,那就要給黑客發郵件,免費解開一個文件來證明。
當然,不能是重要文件,不然黑客怎麼賺錢。
黑客給被攻擊者留下了一串ID,需要給兩個特定的郵箱發郵件聯繫,並通過這串ID來表明身份,與黑客談判才能解開文件。
而且黑客還提醒,不要重命名這些文件,也不要用第三方軟件解密,不僅會有可能讓文件丟失,而且還因爲成本增加,黑客會收更高的解密費用,甚至第三方可能也是個騙子,讓被攻擊者進入套娃式騙局。
新加入黨妹公司的IT小哥哥,查了查日誌,發現這封勒索信是病毒程序自動生成的,IP地址是北京的一家圖書館,當然,很可能是黑客故意僞裝,假裝自己在圖書館,無法再詳細的查到源頭。
黨妹也有些後悔,“之前經常收到大家提醒我說,錄視頻不要過多暴露租房周圍的信息,這樣很危險。”畢竟擁有強大個人IP的up主們每逢搬家必定會介紹自己的新房子,出門拍視頻也經常會錄製出門打車的過程作爲轉場,難免被人判斷出住在一座城市的哪個區域。
發現被攻擊之後,黨妹迅速報警,民警也迅速受理,做了筆錄,聯繫了網安部門進行速查評估。但是,視頻的價值很難說清楚,而且走“恰飯模式”的up主,如果一個視頻沒有恰到飯也沒有直接的經濟損失,因此無法立案。
民警建議黨妹去找數據恢復公司,但勒索信裏說,最好不要去找第三方解密,因爲可能被套娃詐騙或者解密不成黑客加價。
現在,黨妹也很遺憾,安全意識欠缺,給了黑客可乘之機,希望其他up主和粉絲們注意信息安全。
毫無預警,攻擊技術難度爲0
經過黨妹團隊的一系列排查,大概率把目標鎖定到了一個叫Buran的勒索病毒。
黨妹團隊經過調研,對Buran做出瞭如下解釋:
只能攻擊Windows系統。
它會運行自身,對硬盤裏的其他文件進行加密,之後留下郵箱的TXT文檔,再將自己刪除。
Buran沒有特定的密匙,無法解開,360、火絨等公司也對其束手無策。
它在攻擊之前也沒有辦法進行預警,最可怕的是此次攻擊技術難度幾乎爲0:只需要知道IP地址,通過窮舉法破譯密碼,獲取一系列的權限。
看着黨妹認真複述自己被“宰”的過程,也是怪心疼的……
而對於Buran病毒入侵的詳細過程,我們也做了一下整理。
Buran勒索病毒啓動後根據參數不同,執行不同的動作,初始時應是無參數狀態啓動。主要有以下三種情況:
無參數
轉移病毒到指定目錄並設置自啓動,以參數-start重啓新目錄下病毒文件,刪除當前執行目錄下病毒文件並退出;
如果以上行爲失敗,則繼續執行參數-start時的行爲。
參數爲-start
生成用戶RSA公鑰和病毒自定義MachineID,將其寫入註冊表;
刪除數據備份;
搜索可加密磁盤,記錄到註冊表,爲每個可加密磁盤啓動一個勒索病毒進程,參數-agent< IndexInReg >;
在桌面釋放勒索信息文件,使用記事本打開勒索信息文件以提醒用戶。
參數-agent
搜索參數下標對應註冊表中的磁盤,對可加密文件進行加密;
病毒中的字符都通過RC4流對稱加密算法進行加密,待解密數據前32字節爲Key,其餘字節爲密文。
最後,還有一個勒索文件,文件會告知用戶聯繫黑客進行解密的郵箱。
正式支付贖金前,用戶可以免費解密一個文件,以確認黑客可以正確解密文件。
勒索信的最後也附帶了一句“溫馨提示”:
你最好不要去找解密公司,你還有可能繼續被詐騙。
正如黨妹評價——這封勒索信“超賤的!”
網友出面拯救黨妹,量子位專訪多方專家
看到黨妹的不幸遭遇,網友們紛紛出面置評。
一位網絡攻防博士評價這種病毒:無解。
同時,這位博士強調,”和你暴露真實位置無關“,這也與黨妹視頻中的結論相悖。
也有網友提醒負責安全的IT小哥做好後續保障工作。
當然,許多網友也勸黨妹,千萬不要交錢!
而針對普通用戶,許多知名人士也強調,NAS不應該直接暴露到外網,建議系統使用freenas+ZFS,同時做好備份。
數據備份很重要!!!
勒索病毒受害者,不止於小公司
無獨有偶,最近,不少國外公司也中了勒索病毒的招。
美國製藥巨頭ExecuPharm就是其中一家。在給佛蒙特州總檢察長辦公室的一封信中寫道:
在3月13日遭到勒索軟件攻擊,並警告說,社會保障號碼、財務信息、駕駛執照、護照號碼和其他敏感數據可能已被侵入。
而事情的嚴重程度不止於此。
黑客不僅僅是加密了這家公司數據這麼簡單,由於沒有打錢,他們還將數據公佈到了一個與 CLOP 勒索軟件組織有關的暗網上。
隨後,經ExecuPharm的證實,CLOP正是這次攻擊的幕後黑手。
雖然因爲新冠病毒爆發的影響,一些勒索軟件組織已經表態,疫情期間會放過醫療公司。
Clop也表示,它也不會攻擊醫院、療養院或慈善機構,但它認爲,“ExecuPharm不具備資格,它是唯一受益於當前疫情的公司”。
(嗯……Clop的說法爲何有種”劫富濟貧“的感覺……)
即使是臺積電這樣的巨頭,也中過勒索病毒的招,2018年臺積電的電腦因爲中毒導致產線停機,整個過程損失達17.6億元。而原因是公司Windows 7電腦的445端口未關閉,被黑客植入病毒。
無論公司大小,數據安全大於天,防患意識不能無!
對此,你對這件事的看法是什麼呢?下方評論區見~
對於熱愛編程的人來說,擁有這種技術是我們夢寐以求的!
小編有一個C/C++編程學習交流俱樂部,【點擊進入】!
還有編程學習文件(源碼,零基礎教程,項目實戰教學視頻),歡迎初學者和正在進階中的小夥伴們!