本文經(jīng)AI新媒體量子位（公眾號(hào)ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請(qǐng)聯(lián)系出處。

最近真是太難了，要防新冠病毒，還要防勒索病毒。

昨天，B站556萬(wàn)粉絲的up主「機(jī)智的黨妹」就發(fā)視頻說(shuō)，自己被勒索病毒攻擊了。

她正在制作的數(shù)百個(gè)GB的視頻素材文件，全都被病毒加密綁架，黑客只留下一封勒索信：

想拿回這些素材？乖乖交贖金吧。

根據(jù)B站數(shù)據(jù)可視化up主「貍子LePtC」的統(tǒng)計(jì)，截至2020年4月3日，黨妹在B站所有up主里粉絲排名達(dá)到第13。

考慮到前面有三個(gè)官方賬號(hào)，黨妹基本上可以說(shuō)是B站排名前十的第三方up主了，她的B站粉絲數(shù)比李子柒、郭杰瑞、美食作家王剛、何同學(xué)、朱一旦、羅翔老師、馮提莫、半佛仙人這些在多個(gè)平臺(tái)火出圈的up主都要多。

而且B站精美的視頻生產(chǎn)成本高、生產(chǎn)時(shí)間長(zhǎng)，因此囤好的素材被加密后，黨妹這位百萬(wàn)up主準(zhǔn)備的許多視頻都暫時(shí)無(wú)法發(fā)布了。

換成流量的話，按照黨妹近期每個(gè)視頻300萬(wàn)播放量來(lái)預(yù)計(jì)，大概是幾百萬(wàn)乃至千萬(wàn)的流量損失。

唉，寫個(gè)10W+都要驚喜一下的文字創(chuàng)作者，感到心在滴血。

你可能覺(jué)得，粉絲基數(shù)在這里，再拍一些視頻也一樣會(huì)有流量。但黨妹單個(gè)視頻的成本也相當(dāng)高。

根據(jù)B站up主、前《英雄聯(lián)盟》LPL視頻制作團(tuán)隊(duì)成員「-LKs-」的分析，黨妹不少視頻的復(fù)雜程度接近小成本商業(yè)片，團(tuán)隊(duì)差旅、場(chǎng)地、設(shè)備、服化道等成本加起來(lái)，有些視頻制作成本能達(dá)到6位數(shù)。

就算疫情期間不能出門拍大片，近期更新的這類唱跳視頻的制作成本可能也不亞于小規(guī)模的MV了。

對(duì)從事內(nèi)容制作的小微企業(yè)來(lái)說(shuō)，疫情本身就對(duì)自身業(yè)務(wù)有一些影響，大成本內(nèi)容素材丟失就更是雪上加霜了。

搭好NAS第一天就被黑了

黨妹介紹，為了方便存儲(chǔ)使用數(shù)百個(gè)GB的的視頻素材，她的公司花了十幾萬(wàn)在內(nèi)部搭建了一個(gè)NAS系統(tǒng)，相當(dāng)于一個(gè)公司內(nèi)部人人可以訪問(wèn)公共硬盤，或者說(shuō)私有云。

NAS搭建好測(cè)試一段時(shí)間后，投入使用的第一天就被黑客攻擊了。

黑客用的是一種叫做Buran的勒索病毒，它專門攻擊Windows系統(tǒng)。

被攻擊之后，NAS里的所有文件都被改成了奇怪的格式，無(wú)法打開(kāi)使用，而且黑客還在文件夾里留下了一封.txt格式的勒索信：

!!!ALL YOUR FILES ARE ENCRYPTED!!!!!!你所有的文件都被加密了!!!

信中說(shuō)，這個(gè)NAS所有的文檔、照片、數(shù)據(jù)等均已被加密，不要試圖自己解密，恢復(fù)文件的唯一辦法是購(gòu)買一個(gè)獨(dú)一無(wú)二的密匙，只有這個(gè)密匙才能解密這些文件。

如果被攻擊者想要驗(yàn)證黑客說(shuō)的是不是真的，那就要給黑客發(fā)郵件，免費(fèi)解開(kāi)一個(gè)文件來(lái)證明。當(dāng)然，不能是重要文件，不然黑客怎么賺錢。

黑客給被攻擊者留下了一串ID，需要給兩個(gè)特定的郵箱發(fā)郵件聯(lián)系，并通過(guò)這串ID來(lái)表明身份，與黑客談判才能解開(kāi)文件。

而且黑客還提醒，不要重命名這些文件，也不要用第三方軟件解密，不僅會(huì)有可能讓文件丟失，而且還因?yàn)槌杀驹黾?，黑客?huì)收更高的解密費(fèi)用，甚至第三方可能也是個(gè)騙子，讓被攻擊者進(jìn)入套娃式騙局。

新加入黨妹公司的IT小哥哥，查了查日志，發(fā)現(xiàn)這封勒索信是病毒程序自動(dòng)生成的，IP地址是北京的一家圖書館，當(dāng)然，很可能是黑客故意偽裝，假裝自己在圖書館，無(wú)法再詳細(xì)的查到源頭。

黨妹也有些后悔，“之前經(jīng)常收到大家提醒我說(shuō)，錄視頻不要過(guò)多暴露租房周圍的信息，這樣很危險(xiǎn)。”畢竟擁有強(qiáng)大個(gè)人IP的up主們每逢搬家必定會(huì)介紹自己的新房子，出門拍視頻也經(jīng)常會(huì)錄制出門打車的過(guò)程作為轉(zhuǎn)場(chǎng)，難免被人判斷出住在一座城市的哪個(gè)區(qū)域。

發(fā)現(xiàn)被攻擊之后，黨妹迅速報(bào)警，民警也迅速受理，做了筆錄，聯(lián)系了網(wǎng)安部門進(jìn)行速查評(píng)估。但是，視頻的價(jià)值很難說(shuō)清楚，而且走“恰飯模式”的up主，如果一個(gè)視頻沒(méi)有恰到飯也沒(méi)有直接的經(jīng)濟(jì)損失，因此無(wú)法立案。

民警建議黨妹去找數(shù)據(jù)恢復(fù)公司，但勒索信里說(shuō)，最好不要去找第三方解密，因?yàn)榭赡鼙惶淄拊p騙或者解密不成黑客加價(jià)。

現(xiàn)在，黨妹也很遺憾，安全意識(shí)欠缺，給了黑客可乘之機(jī)，希望其他up主和粉絲們注意信息安全。

毫無(wú)預(yù)警，攻擊技術(shù)難度為0

經(jīng)過(guò)黨妹團(tuán)隊(duì)的一系列排查，大概率把目標(biāo)鎖定到了一個(gè)叫Buran的勒索病毒。

黨妹團(tuán)隊(duì)經(jīng)過(guò)調(diào)研，對(duì)Buran做出了如下解釋：

只能攻擊Windows系統(tǒng)。

它會(huì)運(yùn)行自身，對(duì)硬盤里的其他文件進(jìn)行加密，之后留下郵箱的TXT文檔，再將自己刪除。

Buran沒(méi)有特定的密匙，無(wú)法解開(kāi)，360、火絨等公司也對(duì)其束手無(wú)策。

它在攻擊之前也沒(méi)有辦法進(jìn)行預(yù)警，最可怕的是此次攻擊技術(shù)難度幾乎為0：只需要知道IP地址，通過(guò)窮舉法破譯密碼，獲取一系列的權(quán)限。

看著黨妹認(rèn)真復(fù)述自己被“宰”的過(guò)程，也是怪心疼的……

而對(duì)于Buran病毒入侵的詳細(xì)過(guò)程，我們也做了一下整理。

Buran勒索病毒啟動(dòng)后根據(jù)參數(shù)不同，執(zhí)行不同的動(dòng)作，初始時(shí)應(yīng)是無(wú)參數(shù)狀態(tài)啟動(dòng)。主要有以下三種情況：

無(wú)參數(shù)

轉(zhuǎn)移病毒到指定目錄并設(shè)置自啟動(dòng)，以參數(shù)-start重啟新目錄下病毒文件，刪除當(dāng)前執(zhí)行目錄下病毒文件并退出；

如果以上行為失敗，則繼續(xù)執(zhí)行參數(shù)-start時(shí)的行為。

參數(shù)為-start

生成用戶RSA公鑰和病毒自定義MachineID，將其寫入注冊(cè)表；

刪除數(shù)據(jù)備份；

搜索可加密磁盤，記錄到注冊(cè)表，為每個(gè)可加密磁盤啟動(dòng)一個(gè)勒索病毒進(jìn)程，參數(shù)-agent< IndexInReg >；

在桌面釋放勒索信息文件，使用記事本打開(kāi)勒索信息文件以提醒用戶。

參數(shù)-agent

搜索參數(shù)下標(biāo)對(duì)應(yīng)注冊(cè)表中的磁盤，對(duì)可加密文件進(jìn)行加密；

病毒中的字符都通過(guò)RC4流對(duì)稱加密算法進(jìn)行加密，待解密數(shù)據(jù)前32字節(jié)為Key，其余字節(jié)為密文。

最后，還有一個(gè)勒索文件，文件會(huì)告知用戶聯(lián)系黑客進(jìn)行解密的郵箱。

正式支付贖金前，用戶可以免費(fèi)解密一個(gè)文件，以確認(rèn)黑客可以正確解密文件。

勒索信的最后也附帶了一句“溫馨提示”：

你最好不要去找解密公司，你還有可能繼續(xù)被詐騙。

正如黨妹評(píng)價(jià)——這封勒索信“超賤的！”

網(wǎng)友出面拯救黨妹，量子位專訪多方專家

看到黨妹的不幸遭遇，網(wǎng)友們紛紛出面置評(píng)。

一位網(wǎng)絡(luò)攻防博士評(píng)價(jià)這種病毒：無(wú)解。

同時(shí)，這位博士強(qiáng)調(diào)，”和你暴露真實(shí)位置無(wú)關(guān)“，這也與黨妹視頻中的結(jié)論相悖。

也有網(wǎng)友提醒負(fù)責(zé)安全的IT小哥做好后續(xù)保障工作。

當(dāng)然，許多網(wǎng)友也勸黨妹，千萬(wàn)不要交錢！

而針對(duì)普通用戶，知名up主”翼王“也強(qiáng)調(diào)，NAS不應(yīng)該直接暴露到外網(wǎng)，建議系統(tǒng)使用freenas+ZFS，同時(shí)做好備份。

對(duì)此，我們也分別采訪了360安全團(tuán)隊(duì)、騰訊安全團(tuán)隊(duì)的專家。

量子位：若是要將數(shù)據(jù)存儲(chǔ)到類似NAS這樣的服務(wù)器中，這個(gè)過(guò)程務(wù)必需要注意些什么問(wèn)題？

360安全專家：

建議做個(gè)安全排查，不然這個(gè)勒索病毒可以種第一次，就有可能種第二次，連真正哪里出現(xiàn)的問(wèn)題都不知道，何談保護(hù)呢。

安全配置要跟上，不管是專門的NAS服務(wù)器，還是自己搭建的服務(wù)器，口令安全很重要，不使用簡(jiǎn)單口令，補(bǔ)丁要及時(shí)打上，不給黑客可趁之機(jī)。

另外養(yǎng)成良好的習(xí)慣，重要數(shù)據(jù)多備份，做數(shù)據(jù)訪問(wèn)的權(quán)限控制，在出現(xiàn)問(wèn)題之后，也能減小損失。

使用安全防護(hù)軟件,可以解決絕大部分安全問(wèn)題，尤其對(duì)小白用戶，安全軟件可能是最好的解決辦法。

網(wǎng)絡(luò)安全外，物理安全也不應(yīng)該忽視，防火防盜防水，斷電保護(hù)等等都可能對(duì)數(shù)據(jù)安全造成影響。

騰訊安全專家李鐵軍：

NAS設(shè)備是目前不少視頻工作室、UP主、攝影攝像愛(ài)好者較多使用的小型云存儲(chǔ)設(shè)備，大多使用Linux系統(tǒng)，另外也有Windows系統(tǒng)及樹(shù)莓派DIY的產(chǎn)品。

這些設(shè)備的主要特點(diǎn)是方便存儲(chǔ)、方便分享、方便多設(shè)備同步，但安全性卻被忽略了。有幾個(gè)明顯的風(fēng)險(xiǎn)點(diǎn)：

• 操作系統(tǒng)本身的安全漏洞——并不是所有NAS設(shè)備制造商都有能力為用戶提供持續(xù)的系統(tǒng)加固和漏洞修復(fù)能力；
• 軟件配置管理的漏洞——默認(rèn)密碼和用戶配置的簡(jiǎn)單密碼，都非常容易被暴力破解。
• 在用戶環(huán)境，可能較多情況下考慮到使用的方便性，而對(duì)安全性沒(méi)有足夠認(rèn)識(shí)。比較輕易將設(shè)置配置為可以通過(guò)公網(wǎng)訪問(wèn)。這意味著，對(duì)所有攻擊者敞開(kāi)了大門。

就像很久之前有人做過(guò)測(cè)試：如果一臺(tái)不打補(bǔ)丁的Windows電腦接入互聯(lián)網(wǎng)，多久會(huì)中毒，結(jié)果是只需要幾分鐘。

量子位：視頻內(nèi)容工作者不要過(guò)多暴露工作環(huán)境，這是為什么？黑客會(huì)如何利用這些環(huán)境信息？

360安全專家：

這位博主被攻擊的原因，可能和這條無(wú)關(guān)。但是不要過(guò)多暴露工作環(huán)境，確實(shí)對(duì)網(wǎng)絡(luò)安全防護(hù)有積極意義。攻擊者可以利用一些不經(jīng)意間泄露的信息，獲取到很多有價(jià)值的攻擊線索。

比如一張桌面截圖，可能就會(huì)泄露用戶的一些使用習(xí)慣，安裝了哪些軟件，使用的什么操作系統(tǒng)，甚至有一些人桌面會(huì)存放一些個(gè)人隱私信息相關(guān)的文檔數(shù)據(jù)，也會(huì)不經(jīng)意的泄露。

通過(guò)這些泄露的信息，黑客就可以較為輕松的完成“踩點(diǎn)”工作。

騰訊安全專家李鐵軍：

保護(hù)隱私需要從點(diǎn)滴做起，比如隱藏個(gè)人信息、工作單位信息，如果使用固定IP接入，IP地址信息等等都需要保護(hù)。特別是，如果已經(jīng)是大V了，意味著身價(jià)也高了，攻擊者的興趣會(huì)更高。

量子位：若是真的不幸中標(biāo)，該采取什么樣的補(bǔ)救措施？

360安全專家：

• 如果剛剛發(fā)現(xiàn)中招，建議先切斷網(wǎng)絡(luò)，排查受影響情況（比如有多少臺(tái)機(jī)器中招，都是什么問(wèn)題）。
• 如果被加密鎖定數(shù)據(jù)比較重要，建議做好被加密文件的備份和環(huán)境的保護(hù)，防止因?yàn)榄h(huán)境破壞造成無(wú)法解密等。
• 排查中招原因(這一點(diǎn)可能需要尋找專業(yè)安全公司的協(xié)助)，我們經(jīng)常說(shuō)，能中挖礦木馬的機(jī)器，就很可能再被勒索病毒攻擊。能被攻擊一次，就可能被攻擊第二第三次。意思是，平時(shí)就要注意安全防護(hù)，小的安全問(wèn)題，可能就是大的安全問(wèn)題的征兆。不徹底排查中招原因，也就無(wú)法徹底修復(fù)存在的安全問(wèn)題，再次淪陷的可能性極高。
• 修補(bǔ)存在的安全問(wèn)題，加強(qiáng)安全意識(shí)。
• 恢復(fù)數(shù)據(jù)和信息系統(tǒng)，盡力挽回?fù)p失。數(shù)據(jù)恢復(fù)的方式有很多種，根據(jù)不同情況有不同的方案，可以尋求專業(yè)公司或安全公司的幫助。

騰訊安全專家李鐵軍：

很不幸，對(duì)大多數(shù)勒索病毒攻擊，是沒(méi)有修復(fù)解密的辦法的，這也是勒索病毒產(chǎn)業(yè)持續(xù)危害數(shù)年的原因。

對(duì)于所有計(jì)算機(jī)用戶，或采用NAS數(shù)據(jù)存儲(chǔ)方案的工作室，只能采取事前防御，提高整個(gè)團(tuán)隊(duì)的網(wǎng)絡(luò)安全意識(shí)，采用專業(yè)的安全方案做保護(hù)，對(duì)數(shù)據(jù)做好備份。

最后，兩位專家都特意強(qiáng)調(diào)一點(diǎn)：

數(shù)據(jù)備份很重要?。?！

勒索病毒受害者，不止于小公司

無(wú)獨(dú)有偶，最近，不少國(guó)外公司也中了勒索病毒的招。

美國(guó)制藥巨頭ExecuPharm就是其中一家。在給佛蒙特州總檢察長(zhǎng)辦公室的一封信中寫道：

在3月13日遭到勒索軟件攻擊，并警告說(shuō)，社會(huì)保障號(hào)碼、財(cái)務(wù)信息、駕駛執(zhí)照、護(hù)照號(hào)碼和其他敏感數(shù)據(jù)可能已被侵入。

而事情的嚴(yán)重程度不止于此。

黑客不僅僅是加密了這家公司數(shù)據(jù)這么簡(jiǎn)單，由于沒(méi)有打錢，他們還將數(shù)據(jù)公布到了一個(gè)與 CLOP 勒索軟件組織有關(guān)的暗網(wǎng)上。

隨后，經(jīng)ExecuPharm的證實(shí)，CLOP正是這次攻擊的幕后黑手。

雖然因?yàn)樾鹿诓《颈l(fā)的影響，一些勒索軟件組織已經(jīng)表態(tài)，疫情期間會(huì)放過(guò)醫(yī)療公司。

Clop也表示，它也不會(huì)攻擊醫(yī)院、療養(yǎng)院或慈善機(jī)構(gòu)，但它認(rèn)為，“ExecuPharm不具備資格，它是唯一受益于當(dāng)前疫情的公司”。

(嗯……Clop的說(shuō)法為何有種”劫富濟(jì)貧“的感覺(jué)……)

即使是臺(tái)積電這樣的巨頭，也中過(guò)勒索病毒的招，2018年臺(tái)積電的電腦因?yàn)橹卸緦?dǎo)致產(chǎn)線停機(jī)，整個(gè)過(guò)程損失達(dá)17.6億元。而原因是公司W(wǎng)indows 7電腦的445端口未關(guān)閉，被黑客植入病毒。

無(wú)論公司大小，粉絲多少，數(shù)據(jù)安全大于天，防患意識(shí)不能無(wú)！

不說(shuō)了，我要去給獨(dú)享資源們挨個(gè)備份一下了。