郭一敬13发来自凹陷的秘史。
量子比特报告|公众号QbitAI
最近太难了。不仅要防止新型新冠病毒,还要防止威胁病毒。
昨天,B站556万粉丝的业主“睿智的党媒”发来视频,称自己被勒索病毒攻击。
她正在制作的数百个GB视频素材文件都被病毒加密绑架了,黑客只留下了一封恐吓信。
你想拿回这些材料吗?乖乖交赎金吧。
据B站数据可视化UP周《浣熊LePtC》报道,截至2020年4月3日,唐梅在BC所有UPTC的粉丝排名均排在第13位。
考虑到前有三个官方账户,可以说,唐梅基本上是BC排名前十的第三方业主。她的BC粉丝数比Jadu、郭杰瑞、美食作家王刚、胡凡、周毅、罗桑老师、彭提莫、班佛仙人等多个平台上火的up多。
,还有BC的精美视频生产成本高,生产时间长,所以囤的素材加密后,唐梅这个百万UPU准备的很多视频暂时没有发布。
换成流量的话,根据党媒最近的每段视频300万播放量,预计会损失数百万、1000万韩元的流量。
唉,10W都写着惊喜的文字创作者,心里好像在流血。
粉丝基数在这里,再拍一段视频也会觉得有流量。但是党妹妹的个别视频费用也相当高。
B站UP周,前《英雄联盟》 LPL视频制作组成员'-LKS
即使在疫情期间没能出去拍大片,最近更新的这种k歌跳视频的制作成本也可能不亚于小规模的mv。
对于从事内容制作的中小企业来说,传染病本身会影响自己的工作,高成本的内容素材损失会进一步恶化。
搭好NAS第一天就被黑了
党姊妹介绍说,为了便于存储数百GB的视频素材,她花费了10多万美元,构建了公司内任何人都可以访问公共硬盘或私有云的NAS系统。
NAS经过一段时间的测试后,从投入使用的第一天开始就受到黑客攻击。
黑客使用一种叫Buran的恐吓病毒,专门攻击Windows系统。
攻击后,NAS上的所有文件都变成了奇怪的格式,无法打开,黑客在文件夹里…留下了txt格式的恐吓信。
!ALL YOUR FILES ARE ENCRYPTED!所有文件都加密了!
icle.detail&_iz=&index=7" width="640" height="342"/>信中说,这个NAS所有的文档、照片、数据等均已被加密,不要试图自己解密,恢复文件的唯一办法是购买一个独一无二的密匙,只有这个密匙才能解密这些文件。
如果被攻击者想要验证黑客说的是不是真的,那就要给黑客发邮件,免费解开一个文件来证明。当然,不能是重要文件,不然黑客怎么赚钱。
黑客给被攻击者留下了一串ID,需要给两个特定的邮箱发邮件联系,并通过这串ID来表明身份,与黑客谈判才能解开文件。
而且黑客还提醒,不要重命名这些文件,也不要用第三方软件解密,不仅会有可能让文件丢失,而且还因为成本增加,黑客会收更高的解密费用,甚至第三方可能也是个骗子,让被攻击者进入套娃式骗局。
新加入党妹公司的IT小哥哥,查了查日志,发现这封勒索信是病毒程序自动生成的,IP地址是北京的一家图书馆,当然,很可能是黑客故意伪装,假装自己在图书馆,无法再详细的查到源头。
党妹也有些后悔,“之前经常收到大家提醒我说,录视频不要过多暴露租房周围的信息,这样很危险。”毕竟拥有强大个人IP的up主们每逢搬家必定会介绍自己的新房子,出门拍视频也经常会录制出门打车的过程作为转场,难免被人判断出住在一座城市的哪个区域。
发现被攻击之后,党妹迅速报警,民警也迅速受理,做了笔录,联系了网安部门进行速查评估。但是,视频的价值很难说清楚,而且走“恰饭模式”的up主,如果一个视频没有恰到饭也没有直接的经济损失,因此无法立案。
民警建议党妹去找数据恢复公司,但勒索信里说,最好不要去找第三方解密,因为可能被套娃诈骗或者解密不成黑客加价。
现在,党妹也很遗憾,安全意识欠缺,给了黑客可乘之机,希望其他up主和粉丝们注意信息安全。
毫无预警,攻击技术难度为0
经过党妹团队的一系列排查,大概率把目标锁定到了一个叫Buran的勒索病毒。
党妹团队经过调研,对Buran做出了如下解释:
只能攻击Windows系统。
它会运行自身,对硬盘里的其他文件进行加密,之后留下邮箱的TXT文档,再将自己删除。
Buran没有特定的密匙,无法解开,360、火绒等公司也对其束手无策。
它在攻击之前也没有办法进行预警,最可怕的是此次攻击技术难度几乎为0:只需要知道IP地址,通过穷举法破译密码,获取一系列的权限。
看着党妹认真复述自己被“宰”的过程,也是怪心疼的……
而对于Buran病毒入侵的详细过程,我们也做了一下整理。
Buran勒索病毒启动后根据参数不同,执行不同的动作,初始时应是无参数状态启动。主要有以下三种情况:
无参数
转移病毒到指定目录并设置自启动,以参数-start重启新目录下病毒文件,删除当前执行目录下病毒文件并退出;
如果以上行为失败,则继续执行参数-start时的行为。
参数为-start
生成用户RSA公钥和病毒自定义MachineID,将其写入注册表;
删除数据备份;
搜索可加密磁盘,记录到注册表,为每个可加密磁盘启动一个勒索病毒进程,参数-agent< IndexInReg >;
在桌面释放勒索信息文件,使用记事本打开勒索信息文件以提醒用户。
参数-agent
搜索参数下标对应注册表中的磁盘,对可加密文件进行加密;
病毒中的字符都通过RC4流对称加密算法进行加密,待解密数据前32字节为Key,其余字节为密文。
最后,还有一个勒索文件,文件会告知用户联系黑客进行解密的邮箱。
正式支付赎金前,用户可以免费解密一个文件,以确认黑客可以正确解密文件。
勒索信的最后也附带了一句“温馨提示”:
你最好不要去找解密公司,你还有可能继续被诈骗。
正如党妹评价——这封勒索信“超贱的!”
网友出面拯救党妹,量子位专访多方专家
看到党妹的不幸遭遇,网友们纷纷出面置评。
一位网络攻防博士评价这种病毒:无解。
同时,这位博士强调,”和你暴露真实位置无关“,这也与党妹视频中的结论相悖。
也有网友提醒负责安全的IT小哥做好后续保障工作。
当然,许多网友也劝党妹,千万不要交钱!
而针对普通用户,知名up主”翼王“也强调,NAS不应该直接暴露到外网,建议系统使用freenas+ZFS,同时做好备份。
对此,我们也分别采访了360安全团队、腾讯安全团队的专家。
量子位:若是要将数据存储到类似NAS这样的服务器中,这个过程务必需要注意些什么问题?
360安全专家:
建议做个安全排查,不然这个勒索病毒可以种第一次,就有可能种第二次,连真正哪里出现的问题都不知道,何谈保护呢。
安全配置要跟上,不管是专门的NAS服务器,还是自己搭建的服务器,口令安全很重要,不使用简单口令,补丁要及时打上,不给黑客可趁之机。
另外养成良好的习惯,重要数据多备份,做数据访问的权限控制,在出现问题之后,也能减小损失。
使用安全防护软件,可以解决绝大部分安全问题,尤其对小白用户,安全软件可能是最好的解决办法。
网络安全外,物理安全也不应该忽视,防火防盗防水,断电保护等等都可能对数据安全造成影响。
腾讯安全专家李铁军:
NAS设备是目前不少视频工作室、UP主、摄影摄像爱好者较多使用的小型云存储设备,大多使用Linux系统,另外也有Windows系统及树莓派DIY的产品。
这些设备的主要特点是方便存储、方便分享、方便多设备同步,但安全性却被忽略了。有几个明显的风险点:
- 操作系统本身的安全漏洞——并不是所有NAS设备制造商都有能力为用户提供持续的系统加固和漏洞修复能力;
- 软件配置管理的漏洞——默认密码和用户配置的简单密码,都非常容易被暴力破解。
- 在用户环境,可能较多情况下考虑到使用的方便性,而对安全性没有足够认识。比较轻易将设置配置为可以通过公网访问。这意味着,对所有攻击者敞开了大门。
就像很久之前有人做过测试:如果一台不打补丁的Windows电脑接入互联网,多久会中毒,结果是只需要几分钟。
量子位:视频内容工作者不要过多暴露工作环境,这是为什么?黑客会如何利用这些环境信息?
360安全专家:
这位博主被攻击的原因,可能和这条无关。但是不要过多暴露工作环境,确实对网络安全防护有积极意义。攻击者可以利用一些不经意间泄露的信息,获取到很多有价值的攻击线索。
比如一张桌面截图,可能就会泄露用户的一些使用习惯,安装了哪些软件,使用的什么操作系统,甚至有一些人桌面会存放一些个人隐私信息相关的文档数据,也会不经意的泄露。
通过这些泄露的信息,黑客就可以较为轻松的完成“踩点”工作。
腾讯安全专家李铁军:
保护隐私需要从点滴做起,比如隐藏个人信息、工作单位信息,如果使用固定IP接入,IP地址信息等等都需要保护。特别是,如果已经是大V了,意味着身价也高了,攻击者的兴趣会更高。
量子位:若是真的不幸中标,该采取什么样的补救措施?
360安全专家:
- 如果刚刚发现中招,建议先切断网络,排查受影响情况(比如有多少台机器中招,都是什么问题)。
- 如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。
- 排查中招原因(这一点可能需要寻找专业安全公司的协助),我们经常说,能中挖矿木马的机器,就很可能再被勒索病毒攻击。能被攻击一次,就可能被攻击第二第三次。意思是,平时就要注意安全防护,小的安全问题,可能就是大的安全问题的征兆。不彻底排查中招原因,也就无法彻底修复存在的安全问题,再次沦陷的可能性极高。
- 修补存在的安全问题,加强安全意识。
- 恢复数据和信息系统,尽力挽回损失。数据恢复的方式有很多种,根据不同情况有不同的方案,可以寻求专业公司或安全公司的帮助。
腾讯安全专家李铁军:
很不幸,对大多数勒索病毒攻击,是没有修复解密的办法的,这也是勒索病毒产业持续危害数年的原因。
对于所有计算机用户,或采用NAS数据存储方案的工作室,只能采取事前防御,提高整个团队的网络安全意识,采用专业的安全方案做保护,对数据做好备份。
最后,两位专家都特意强调一点:
数据备份很重要!!!
勒索病毒受害者,不止于小公司
无独有偶,最近,不少国外公司也中了勒索病毒的招。
美国制药巨头ExecuPharm就是其中一家。在给佛蒙特州总检察长办公室的一封信中写道:
在3月13日遭到勒索软件攻击,并警告说,社会保障号码、财务信息、驾驶执照、护照号码和其他敏感数据可能已被侵入。
而事情的严重程度不止于此。
黑客不仅仅是加密了这家公司数据这么简单,由于没有打钱,他们还将数据公布到了一个与 CLOP 勒索软件组织有关的暗网上。
随后,经ExecuPharm的证实,CLOP正是这次攻击的幕后黑手。
虽然因为新冠病毒爆发的影响,一些勒索软件组织已经表态,疫情期间会放过医疗公司。
Clop也表示,它也不会攻击医院、疗养院或慈善机构,但它认为,“ExecuPharm不具备资格,它是唯一受益于当前疫情的公司”。
(嗯……Clop的说法为何有种”劫富济贫“的感觉……)
即使是台积电这样的巨头,也中过勒索病毒的招,2018年台积电的电脑因为中毒导致产线停机,整个过程损失达17.6亿元。而原因是公司Windows 7电脑的445端口未关闭,被黑客植入病毒。
无论公司大小,粉丝多少,数据安全大于天,防患意识不能无!
不说了,我要去给独享资源们挨个备份一下了。
参考链接:
— 完 —
量子位 QbitAI · 头条号签约
关注我们,第一时间获知前沿科技动态
