B站500万粉up主党妹被黑客勒索：交钱赎“人”！安全专家：无解

郭关于寺量子比特的第十三次报告|公开号QbitAI

最近，很难防止新的冠状病毒和勒索病毒。

昨天，在B站拥有556万粉丝的“机智党妹”节目主持人发送了一段视频，称自己遭到了勒索病毒的攻击。

她正在制作数百GB的视频材料文件，全部被病毒加密绑架，黑客只留下一封勒索信:

想拿回这些材料吗？支付赎金。

根据B站数据显示的上位主星“浣熊莱普特”的统计，截至2020年4月3日，党妹在B站所有上位主星中排名第13位..

考虑到面前有三个官方账户，基本上是B站的前10名第三方UPC拥有者，B站的粉丝数量超过了在多个平台上巡回演出的李、郭杰利、美食作家、何、朱毅、老师、冯铁木、仙班佛等UPC拥有者。

此外，B站的精美视频制作成本高，制作时间长，所以党妹百万UPC大师制作的很多视频在存储材料加密后暂时无法发布。

就交通而言，根据党妹最近每段视频300万次广播，估计交通损失数百万甚至数千万。

唉，当我写一个10W以上的角色创建者时，我感到我的心在流血，他需要感到惊讶。

你可能会想，如果粉丝群在这里，如果你多拍一些视频，就会有交通堵塞。但是在党妹一个视频的成本也相当高。

根据《LKS》的分析，在党妹，许多视频的复杂性已经接近于低成本商业电影。团队旅行、场地、设备和服务道路的成本加起来，一些视频制作成本可以达到6位数。

即使在流行期间不能外出拍摄大型电影，最近更新的歌舞视频的制作成本也可能不低于小型MV。

对于从事内容制作的小型和微型企业来说，这种流行病本身对他们自己的业务有一些影响，而高成本内容材料的损失更是雪上加霜。

网络连接存储安装的第一天被中断。

党妹表示，为了方便数百GB视频资料的存储和使用，她的公司花费了10多万元在内部构建了一个网络连接存储系统，相当于公司内每个人都可以访问的公共硬盘或私有云。

在构建并测试了一段时间后，网络连接存储在使用的第一天就遭到了黑客的攻击。

黑客使用了一种名为Buran的勒索病毒，专门攻击Windows系统。

被攻击后，网络存储系统中的所有文件都变成了奇怪的格式，无法打开使用，黑客还留下了一封勒索信。文件夹中的txt格式:

！！！你所有的文件都是加密的！！！！！！你所有的文件都加密了！！！

信中说所有的文件、照片、数据等。这个网络连接存储已经加密。不要试图自己解密。恢复文件的唯一方法是购买唯一的密钥。只有这个密钥可以解密这些文件。

如果攻击者想要验证黑客所说的是否属实，他必须向黑客发送一封电子邮件，并免费解锁一个文件来证明这一点。当然，它不可能是一个重要的文件，否则黑客怎么能赚钱呢？

黑客给攻击者留下了一串身份信息，有必要向两个特定的邮箱发送一封电子邮件来联系他们，并使用这串身份信息来识别自己。只有通过与黑客协商，文件才能解锁。

此外，黑客还警告不要重命名这些文件或使用第三方软件解密它们。不仅文件会丢失，而且由于成本增加，黑客将收取更高的解密费用。甚至第三方也可能是骗子，让受害者进入一个塔瓦式的骗局。

加入党妹公司的新信息技术兄弟检查了日志，发现勒索信是由病毒程序自动生成的。IP地址是北京的一个图书馆。当然，很有可能黑客故意伪装自己，假装在图书馆，无法找到详细的来源。

党妹也后悔了，“我经常被提醒在录制视频时不要暴露太多关于租房的信息，这很危险。”毕竟，拥有强大个人知识产权的UPOs总是会在搬家时介绍他们的新房子，而且他们经常会记录下外出时乘坐出租车的过程，以此作为一种过渡。很难避免被判断他们住在城市的哪个区域。

袭击被发现后，党妹立即报警，警方也迅速接受了此案。他们做了笔记，并联系了网络安全部门进行快速调查和评估。然而，视频的价值很难说清楚，如果一个视频不仅仅是用餐，而且没有直接的经济损失，遵循“只是用餐模式”的刚果爱国者联盟所有者就不能立案。

警方建议党妹去数据恢复公司，但勒索信说最好不要去第三方解密，因为它可能被孩子欺骗或黑客无法提高价格。

现在，党妹也很抱歉，缺乏安全意识，给黑客机会，希望其他UPOs和粉丝关注信息安全。

没有警告，攻击的技术难度为0

经过党妹团队的一系列调查，他们很有可能已经锁定了一种被称为Buran的勒索病毒。

经过调查，党妹团队向博兰做出如下解释:

只有视窗系统可以被攻击。

它将自己运行，加密硬盘上的其他文件，然后将TXT文件留在邮箱中并删除自己。

Buran没有特定的钥匙，无法解锁。360、tinder等公司也处于亏损状态。

它也没有办法在袭击前给出预警。最可怕的是，攻击的技术难度几乎为零:它只需要知道IP地址，通过穷举方法破解密码，并获得一系列权限。

看着党妹小心翼翼地复述被“屠杀”的过程也是非常痛苦的

然而，我们也整理出了缅甸病毒入侵的详细过程。

博兰勒索病毒启动后，它会根据不同的参数执行不同的操作。最初，它应该在没有参数的情况下启动。有三种主要情况:

没有参数

将病毒转移到指定目录并设置自启动，用参数-start重新启动新目录下的病毒文件，删除当前执行目录下的病毒文件并退出；

如果上述行为失败，参数启动时的行为将继续。

参数是-开始

生成用户的RSA公钥和病毒自定义计算机ID，并将其写入注册表；

删除数据备份；

搜索可加密的磁盘，在注册表中记录，并为每个可加密的磁盘启动一个勒索病毒程序。参数-代理<。IndexInReg >。；

释放桌面上的勒索信息文件，用记事本打开勒索信息文件提醒用户。

参数-代理

搜索参数下标对应于注册表中的磁盘，并加密可加密文件；

病毒中的字符采用RC4流对称加密算法加密。要解密的数据的前32个字节是密钥，其余的字节是密文。

最后，有一个勒索文件，将通知用户联系黑客解密邮箱。

在正式支付赎金之前，用户可以免费解密文件，以确认黑客可以正确解密文件。

这封勒索信以“热情提醒”结束:

你最好不要去解密公司，你可能会继续被骗。

正如党妹所说——这封勒索信“超级便宜！”

网友站出来拯救党妹，量子专家访谈

看到党妹的不幸，网民们纷纷上前评论。

一位网络攻击和防御博士评估了这种病毒:没有解决方案。

同时，医生强调“这与你暴露的真实位置无关”，这也与党妹视频中的结论相反。

一些网友还提醒负责安全的IT哥做好后续安全工作。

当然，许多网民也建议党妹不要付钱！

对于普通用户来说，著名的“翼王”也强调网络连接存储不应该直接暴露在外部网络中。建议系统使用freenas+ZFS，同时进行备份。

对此，我们还分别采访了来自360安全团队和腾讯安全团队的专家。

量子位:如果你想在像网络连接存储这样的服务器上存储数据，在这个过程中你必须注意哪些问题？

360名安全专家:

建议进行安全调查，否则可以第一次植入勒索病毒，也可以第二次植入。我甚至不知道问题到底发生在哪里。我如何谈论保护？

安全配置应该跟上，无论是专门的网络连接存储服务器还是自行构建的服务器，密码安全都非常重要，不要使用简单的密码，补丁应该及时应用，黑客不应该利用它。

此外，应养成良好的习惯，应更多地备份重要数据，并应控制数据访问权限。问题发生后，损失也可以减少。

使用安全保护软件可以解决大多数安全问题，尤其是对于白人小用户来说，安全软件可能是最好的解决方案。

除了网络安全，物理安全也不应该被忽视。防火、防盗、防水、断电保护等。都可能影响数据安全。

腾讯安全专家李铁军:

NAS设备是一种小型云存储设备，被许多视频工作室、UPOs和摄影爱好者广泛使用。他们大多使用Linux系统。此外，还有视窗系统和草莓DIY产品。

这些设备的主要特点是方便存储、共享和同步多个设备，但安全性被忽略。有几个明显的风险点:

操作系统本身的安全漏洞——并非所有的网络连接存储设备制造商都有能力为用户提供持续的安全强化和漏洞修复能力；软件配置管理中的漏洞——默认密码和用户配置的简单密码很容易被暴力破解。在用户环境中，在许多情况下可以考虑使用的便利性，但是安全性没有被完全理解。将设置配置为可通过公共网络访问更容易。这意味着大门向所有攻击者敞开。就像很久以前有人做过的一个测试:如果一台未打补丁的视窗电脑连接到互联网，它会中毒多久，结果只需要几分钟。

量子位:视频内容工作者不应该过多暴露他们的工作环境。为什么？黑客将如何使用这些环境信息？

360名安全专家:

博客遭到攻击的原因可能与这篇文章无关。但是，不要暴露太多的工作环境，这对网络安全保护确实有积极的意义。攻击者可以利用一些无意中泄露的信息来获得许多有价值的攻击线索。

例如，一个桌面的屏幕截图可能揭示一些用户的使用习惯、安装了哪些软件、使用了哪些操作系统，甚至一些人的桌面可能存储一些与个人隐私信息相关的文档和数据，这些信息可能被无意中泄露。

通过这些泄露的信息，黑客可以轻松完成“踩在现场”的工作。

腾讯安全专家李铁军:

隐私保护需要从比特开始，例如隐藏个人信息和工作单位信息。如果使用固定的IP访问，IP地址信息等都需要得到保护。特别是，如果它已经是一个大的V，这意味着价格也很高，攻击者的兴趣会更高。

量子位:如果你真的不幸中标，你应该采取什么补救措施？

360名安全专家:

如果您刚刚发现了一个成功的移动，建议您首先切断网络并检查受影响的情况(例如，有多少台机器是成功的，有哪些问题)。如果加密和锁定的数据更重要，建议备份加密文件并保护环境，以防止由于环境破坏而无法解密。我们经常说，能够挖掘特洛伊木马的机器很可能会受到讹诈病毒的攻击。如果你能被攻击一次，你可能会被第二次或第三次攻击。这意味着平时要注意安全防护。轻微的安全问题可能是重大安全问题的征兆。如果不彻底调查招募的原因，现有的安全问题就无法完全解决，再次摔倒的可能性极高。修复存在的安全问题，增强安全意识。恢复数据和信息系统，并努力弥补损失。有许多方法可以恢复数据。根据不同的情况有不同的方案。你可以向专业公司或安全公司寻求帮助。腾讯安全专家李铁军:

不幸的是，没有办法修复和解密大多数的勒索病毒攻击，这也是为什么勒索病毒行业持续危害了几年的原因。

对于所有计算机用户或采用NAS数据存储方案的工作室来说，只有预先防御才能提高整个团队的网络安全意识，并且可以采用专业的安全方案来保护和备份数据。

最后，两位专家特别强调了一点:

数据备份非常重要！！！

对病毒受害者的勒索不仅限于小公司。

同样，最近，许多外国公司也受到了病毒的威胁。

美国制药巨头ExecuPharm就是其中之一。在给佛蒙特州司法部长办公室的一封信中，他写道:

3月13日，他遭到勒索软件的攻击，并警告说，社会安全号码、财务信息、驾驶执照、护照号码和其他敏感数据可能遭到黑客攻击。

事情的严重性不仅限于此。

黑客不仅加密了公司的数据，还将数据发布到一个与CLOP勒索软件组织相关的秘密网络，因为他们没有赚到任何钱。

后来，经ExecuPharm证实，CLOP是这次袭击的幕后黑手。

尽管由于新的冠状病毒爆发的影响，一些勒索软件组织已经声明他们将在流行病期间不伤害医疗公司。

Clop还表示，它不会攻击医院、疗养院或慈善组织，但它认为“ExecuPharm不合格，它是唯一从当前疫情中受益的公司”。

(嗯...为什么……Clop有掠夺富人、给予穷人的感觉......)

甚至像TSMC这样的巨人也被病毒勒索。2018年，TSMC的电脑因中毒而关闭，整个过程中损失了17.6亿元。原因是该公司的视窗7电脑的445端口没有关闭，并已被黑客感染。

无论公司的规模或粉丝的数量，数据的安全性都比天高，预防意识不可或缺。

别说了，我要给独家资源一一备份。

参考链接:

http://www . bili bili . com/video/Bv1Ii 4 y1 t7i 1 Https://www . bili bili . com/video/Bv1ev 411 f 72 uhttps://www . bili bili . com/video/Bv1cj 411 x7xyHttps://TechCrunch . com/2020/04/27/execupharm-clop-ransomware/https://BBS . 360 . cn/thread-158260361

https://m.weibo.cn/6105753431/4492812131224447

-完毕-

量子比特签了合同。

请密切关注我们，首先了解最新的技术发展。

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/5599.html。