B站500万粉up主党妹被黑客勒索：交钱赎“人”！顶级安全专

　　最近真是太难了，要防新冠病毒，还要防勒索病毒。
　　昨天，B站556万粉丝的up主机智的党妹就发视频说，自己被勒索病毒攻击了。
　　她正在制作的数百个GB的视频素材文件，全都被病毒加密绑架，黑客只留下一封勒索信：
　　想拿回这些素材？乖乖交赎金吧。
　　根据B站数据可视化up主狸子LePtC的统计，截至2020年4月3日，党妹在B站所有up主里粉丝排名达到第13。
　　考虑到前面有三个官方账号，党妹基本上可以说是B站排名前十的第三方up主了，她的B站粉丝数比李子柒、郭杰瑞、美食作家王刚、何同学、朱一旦、罗翔老师、冯提莫、半佛仙人这些在多个平台火出圈的up主都要多。
　　而且B站精美的视频生产成本高、生产时间长，因此囤好的素材被加密后，党妹这位百万up主准备的许多视频都暂时无法发布了。
　　换成流量的话，按照党妹近期每个视频300万播放量来预计，大概是几百万乃至千万的流量损失。
　　唉，写个10W都要惊喜一下的文字创作者，感到心在滴血。
　　你可能觉得，粉丝基数在这里，再拍一些视频也一样会有流量。但党妹单个视频的成本也相当高。
　　根据B站up主、前《英雄联盟》LPL视频制作团队成员LKs的分析，党妹不少视频的复杂程度接近小成本商业片，团队差旅、场地、设备、服化道等成本加起来，有些视频制作成本能达到6位数。
　　就算疫情期间不能出门拍大片，近期更新的这类唱跳视频的制作成本可能也不亚于小规模的MV了。
　　对从事内容制作的小微企业来说，疫情本身就对自身业务有一些影响，大成本内容素材丢失就更是雪上加霜了。
　　搭好NAS第一天就被黑了
　　党妹介绍，为了方便存储使用数百个GB的的视频素材，她的公司花了十几万在内部搭建了一个NAS系统，相当于一个公司内部人人可以访问公共硬盘，或者说私有云。
　　NAS搭建好测试一段时间后，投入使用的第一天就被黑客攻击了。
　　黑客用的是一种叫做Buran的勒索病毒，它专门攻击Windows系统。
　　被攻击之后，NAS里的所有文件都被改成了奇怪的格式，无法打开使用，而且黑客还在文件夹里留下了一封。txt格式的勒索信：
　　信中说，这个NAS所有的文档、照片、数据等均已被加密，不要试图自己解密，恢复文件的唯一办法是购买一个独一无二的密匙，只有这个密匙才能解密这些文件。
　　如果被攻击者想要验证黑客说的是不是真的，那就要给黑客发邮件，免费解开一个文件来证明。
　　当然，不能是重要文件，不然黑客怎么赚钱。
　　黑客给被攻击者留下了一串ID，需要给两个特定的邮箱发邮件联系，并通过这串ID来表明身份，与黑客谈判才能解开文件。
　　而且黑客还提醒，不要重命名这些文件，也不要用第三方软件解密，不仅会有可能让文件丢失，而且还因为成本增加，黑客会收更高的解密费用，甚至第三方可能也是个骗子，让被攻击者进入套娃式骗局。
　　新加入党妹公司的IT小哥哥，查了查日志，发现这封勒索信是病毒程序自动生成的，IP地址是北京的一家图书馆，当然，很可能是黑客故意伪装，假装自己在图书馆，无法再详细的查到源头。
　　党妹也有些后悔，“之前经常收到大家提醒我说，录视频不要过多暴露租房周围的信息，这样很危险。”毕竟拥有强大个人IP的up主们每逢搬家必定会介绍自己的新房子，出门拍视频也经常会录制出门打车的过程作为转场，难免被人判断出住在一座城市的哪个区域。
　　发现被攻击之后，党妹迅速报警，民警也迅速受理，做了笔录，联系了网安部门进行速查评估。但是，视频的价值很难说清楚，而且走“恰饭模式”的up主，如果一个视频没有恰到饭也没有直接的经济损失，因此无法立案。
　　民警建议党妹去找数据恢复公司，但勒索信里说，最好不要去找第三方解密，因为可能被套娃诈骗或者解密不成黑客加价。
　　现在，党妹也很遗憾，安全意识欠缺，给了黑客可乘之机，希望其他up主和粉丝们注意信息安全。
　　毫无预警，攻击技术难度为0
　　经过党妹团队的一系列排查，大概率把目标锁定到了一个叫Buran的勒索病毒。
　　党妹团队经过调研，对Buran做出了如下解释：
　　看着党妹认真复述自己被“宰”的过程，也是怪心疼的
　　而对于Buran病毒入侵的详细过程，我们也做了一下整理。
　　Buran勒索病毒启动后根据参数不同，执行不同的动作，初始时应是无参数状态启动。主要有以下三种情况：
　　1。无参数
　　转移病毒到指定目录并设置自启动，以参数start重启新目录下病毒文件，删除当前执行目录下病毒文件并退出；
　　如果以上行为失败，则继续执行参数start时的行为。
　　2。参数为start
　　生成用户RSA公钥和病毒自定义MachineID，将其写入注册表；
　　删除数据备份；
　　搜索可加密磁盘，记录到注册表，为每个可加密磁盘启动一个勒索病毒进程，参数IndexInR；
　　在桌面释放勒索信息文件，使用记事本打开勒索信息文件以提醒用户。
　　3。参数agent
　　搜索参数下标对应注册表中的磁盘，对可加密文件进行加密；
　　病毒中的字符都通过RC4流对称加密算法进行加密，待解密数据前32字节为Key，其余字节为密文。
　　最后，还有一个勒索文件，文件会告知用户联系黑客进行解密的邮箱。
　　正式支付赎金前，用户可以免费解密一个文件，以确认黑客可以正确解密文件。
　　勒索信的最后也附带了一句“温馨提示”：
　　正如党妹评价这封勒索信“超贱的！”
　　网友出面拯救党妹，量子位专访多方专家
　　看到党妹的不幸遭遇，网友们纷纷出面置评。
　　一位网络攻防博士评价这种病毒：无解。
　　同时，这位博士强调，”和你暴露真实位置无关“，这也与党妹视频中的结论相悖。
　　也有网友提醒负责安全的IT小哥做好后续保障工作。
　　当然，许多网友也劝党妹，千万不要交钱！
　　而针对普通用户，知名up主”翼王“也强调，NAS不应该直接暴露到外网，建议系统使用freenasZFS，同时做好备份。
　　对此，我们也分别采访了360安全团队、腾讯安全团队的专家。
　　量子位：若是要将数据存储到类似NAS这样的服务器中，这个过程务必需要注意些什么问题？
　　360安全专家：
　　建议做个安全排查，不然这个勒索病毒可以种第一次，就有可能种第二次，连真正哪里出现的问题都不知道，何谈保护呢。
　　安全配置要跟上，不管是专门的NAS服务器，还是自己搭建的服务器，口令安全很重要，不使用简单口令，补丁要及时打上，不给黑客可趁之机。
　　另外养成良好的习惯，重要数据多备份，做数据访问的权限控制，在出现问题之后，也能减小损失。
　　使用安全防护软件，可以解决绝大部分安全问题，尤其对小白用户，安全软件可能是最好的解决办法。
　　网络安全外，物理安全也不应该忽视，防火防盗防水，断电保护等等都可能对数据安全造成影响。
　　腾讯安全专家李铁军：
　　NAS设备是目前不少视频工作室、UP主、摄影摄像爱好者较多使用的小型云存储设备，大多使用Linux系统，另外也有Windows系统及树莓派DIY的产品。
　　这些设备的主要特点是方便存储、方便分享、方便多设备同步，但安全性却被忽略了。有几个明显的风险点：
　　操作系统本身的安全漏洞并不是所有NAS设备制造商都有能力为用户提供持续的系统加固和漏洞修复能力；
　　软件配置管理的漏洞默认密码和用户配置的简单密码，都非常容易被暴力破解。
　　在用户环境，可能较多情况下考虑到使用的方便性，而对安全性没有足够认识。比较轻易将设置配置为可以通过公网访问。这意味着，对所有攻击者敞开了大门。
　　就像很久之前有人做过测试：如果一台不打补丁的Windows电脑接入互联网，多久会中毒，结果是只需要几分钟。
　　量子位：视频内容工作者不要过多暴露工作环境，这是为什么？黑客会如何利用这些环境信息？
　　360安全专家：
　　这位博主被攻击的原因，可能和这条无关。但是不要过多暴露工作环境，确实对网络安全防护有积极意义。攻击者可以利用一些不经意间泄露的信息，获取到很多有价值的攻击线索。
　　比如一张桌面截图，可能就会泄露用户的一些使用习惯，安装了哪些软件，使用的什么操作系统，甚至有一些人桌面会存放一些个人隐私信息相关的文档数据，也会不经意的泄露。
　　通过这些泄露的信息，黑客就可以较为轻松的完成“踩点”工作。
　　腾讯安全专家李铁军：
　　保护隐私需要从点滴做起，比如隐藏个人信息、工作单位信息，如果使用固定IP接入，IP地址信息等等都需要保护。特别是，如果已经是大V了，意味着身价也高了，攻击者的兴趣会更高。
　　量子位：若是真的不幸中标，该采取什么样的补救措施？
　　360安全专家：
　　如果刚刚发现中招，建议先切断网络，排查受影响情况（比如有多少台机器中招，都是什么问题）。
　　如果被加密锁定数据比较重要，建议做好被加密文件的备份和环境的保护，防止因为环境破坏造成无法解密等。
　　排查中招原因（这一点可能需要寻找专业安全公司的协助），我们经常说，能中挖矿木马的机器，就很可能再被勒索病毒攻击。能被攻击一次，就可能被攻击第二第三次。意思是，平时就要注意安全防护，小的安全问题，可能就是大的安全问题的征兆。不彻底排查中招原因，也就无法彻底修复存在的安全问题，再次沦陷的可能性极高。
　　修补存在的安全问题，加强安全意识。
　　恢复数据和信息系统，尽力挽回损失。数据恢复的方式有很多种，根据不同情况有不同的方案，可以寻求专业公司或安全公司的帮助。
　　腾讯安全专家李铁军：
　　很不幸，对大多数勒索病毒攻击，是没有修复解密的办法的，这也是勒索病毒产业持续危害数年的原因。
　　对于所有计算机用户，或采用NAS数据存储方案的工作室，只能采取事前防御，提高整个团队的网络安全意识，采用专业的安全方案做保护，对数据做好备份。
　　最后，两位专家都特意强调一点：
　　数据备份很重要！！！
　　勒索病毒受害者，不止于小公司
　　无独有偶，最近，不少国外公司也中了勒索病毒的招。
　　美国制药巨头ExecuPharm就是其中一家。在给佛蒙特州总检察长办公室的一封信中写道：
　　而事情的严重程度不止于此。
　　黑客不仅仅是加密了这家公司数据这么简单，由于没有打钱，他们还将数据公布到了一个与CLOP勒索软件组织有关的暗网上。
　　随后，经ExecuPharm的证实，CLOP正是这次攻击的幕后黑手。
　　虽然因为新冠病毒爆发的影响，一些勒索软件组织已经表态，疫情期间会放过医疗公司。
　　Clop也表示，它也不会攻击医院、疗养院或慈善机构，但它认为，“ExecuPharm不具备资格，它是唯一受益于当前疫情的公司”。
　　（嗯Clop的说法为何有种”劫富济贫“的感觉）
　　即使是台积电这样的巨头，也中过勒索病毒的招，2018年台积电的电脑因为中毒导致产线停机，整个过程损失达17。6亿元。而原因是公司Windows7电脑的445端口未关闭，被黑客植入病毒。
　　无论公司大小，粉丝多少，数据安全大于天，防患意识不能无！
　　不说了，我要去给独享资源们挨个备份一下了。
　　参考链接：
　　https：www。bilibili。comvideoBV1ii4y1t7i1
　　https：www。bilibili。comvideoBV1EV411f72u
　　https：www。bilibili。comvideoBV1CJ411X7xy
　　https：techcrunch。com20200427execupharmclopransomware
　　https：bbs。360。cnthread1582603611。html
　　https：m。weibo。cn61057534314492812131224447