郭一璞 十三 發自 凹非寺
量子位 報道 | 公眾號 QbitAI
最近真是太難了,要防新冠病毒,還要防勒索病毒。
昨天,B站556萬粉絲的up主「機智的黨妹」就發視頻說,自己被勒索病毒攻擊了。
她正在製作的數百個GB的視頻素材文件,全都被病毒加密綁架,黑客只留下一封勒索信:
想拿回這些素材?乖乖交贖金吧。
根據B站數據可視化up主「狸子LePtC」的統計,截至2020年4月3日,黨妹在B站所有up主裡粉絲排名達到第13。
考慮到前面有三個官方賬號,黨妹基本上可以說是B站排名前十的第三方up主了,她的B站粉絲數比李子柒、郭傑瑞、美食作家王剛、何同學、朱一旦、羅翔老師、馮提莫、半佛仙人這些在多個平臺火出圈的up主都要多。
而且B站精美的視頻生產成本高、生產時間長,因此囤好的素材被加密後,黨妹這位百萬up主準備的許多視頻都暫時無法發佈了。
換成流量的話,按照黨妹近期每個視頻300萬播放量來預計,大概是幾百萬乃至千萬的流量損失。
唉,寫個10W+都要驚喜一下的文字創作者,感到心在滴血。
你可能覺得,粉絲基數在這裡,再拍一些視頻也一樣會有流量。但黨妹單個視頻的成本也相當高。
根據B站up主、前《英雄聯盟》LPL視頻製作團隊成員「-LKs-」的分析,黨妹不少視頻的複雜程度接近小成本商業片,團隊差旅、場地、設備、服化道等成本加起來,有些視頻製作成本能達到6位數。
就算疫情期間不能出門拍大片,近期更新的這類唱跳視頻的製作成本可能也不亞於小規模的MV了。
對從事內容製作的小微企業來說,疫情本身就對自身業務有一些影響,大成本內容素材丟失就更是雪上加霜了。
搭好NAS第一天就被黑了
黨妹介紹,為了方便存儲使用數百個GB的的視頻素材,她的公司花了十幾萬在內部搭建了一個NAS系統,相當於一個公司內部人人可以訪問公共硬盤,或者說私有云。
NAS搭建好測試一段時間後,投入使用的第一天就被黑客攻擊了。
黑客用的是一種叫做Buran的勒索病毒,它專門攻擊Windows系統。
被攻擊之後,NAS裡的所有文件都被改成了奇怪的格式,無法打開使用,而且黑客還在文件夾裡留下了一封.txt格式的勒索信:
!!!ALL YOUR FILES ARE ENCRYPTED!!!!!!你所有的文件都被加密了!!!
信中說,這個NAS所有的文檔、照片、數據等均已被加密,不要試圖自己解密,恢復文件的唯一辦法是購買一個獨一無二的密匙,只有這個密匙才能解密這些文件。
如果被攻擊者想要驗證黑客說的是不是真的,那就要給黑客發郵件,免費解開一個文件來證明。當然,不能是重要文件,不然黑客怎麼賺錢。
黑客給被攻擊者留下了一串ID,需要給兩個特定的郵箱發郵件聯繫,並通過這串ID來表明身份,與黑客談判才能解開文件。
而且黑客還提醒,不要重命名這些文件,也不要用第三方軟件解密,不僅會有可能讓文件丟失,而且還因為成本增加,黑客會收更高的解密費用,甚至第三方可能也是個騙子,讓被攻擊者進入套娃式騙局。
新加入黨妹公司的IT小哥哥,查了查日誌,發現這封勒索信是病毒程序自動生成的,IP地址是北京的一家圖書館,當然,很可能是黑客故意偽裝,假裝自己在圖書館,無法再詳細的查到源頭。
黨妹也有些後悔,“之前經常收到大家提醒我說,錄視頻不要過多暴露租房周圍的信息,這樣很危險。”畢竟擁有強大個人IP的up主們每逢搬家必定會介紹自己的新房子,出門拍視頻也經常會錄製出門打車的過程作為轉場,難免被人判斷出住在一座城市的哪個區域。
發現被攻擊之後,黨妹迅速報警,民警也迅速受理,做了筆錄,聯繫了網安部門進行速查評估。但是,視頻的價值很難說清楚,而且走“恰飯模式”的up主,如果一個視頻沒有恰到飯也沒有直接的經濟損失,因此無法立案。
民警建議黨妹去找數據恢復公司,但勒索信裡說,最好不要去找第三方解密,因為可能被套娃詐騙或者解密不成黑客加價。
現在,黨妹也很遺憾,安全意識欠缺,給了黑客可乘之機,希望其他up主和粉絲們注意信息安全。
毫無預警,攻擊技術難度為0
經過黨妹團隊的一系列排查,大概率把目標鎖定到了一個叫Buran的勒索病毒。
黨妹團隊經過調研,對Buran做出瞭如下解釋:
只能攻擊Windows系統。
它會運行自身,對硬盤裡的其他文件進行加密,之後留下郵箱的TXT文檔,再將自己刪除。
Buran沒有特定的密匙,無法解開,360、火絨等公司也對其束手無策。
它在攻擊之前也沒有辦法進行預警,最可怕的是此次攻擊技術難度幾乎為0:只需要知道IP地址,通過窮舉法破譯密碼,獲取一系列的權限。
看著黨妹認真複述自己被“宰”的過程,也是怪心疼的……
而對於Buran病毒入侵的詳細過程,我們也做了一下整理。
Buran勒索病毒啟動後根據參數不同,執行不同的動作,初始時應是無參數狀態啟動。主要有以下三種情況:
無參數
轉移病毒到指定目錄並設置自啟動,以參數-start重啟新目錄下病毒文件,刪除當前執行目錄下病毒文件並退出;
如果以上行為失敗,則繼續執行參數-start時的行為。
參數為-start
生成用戶RSA公鑰和病毒自定義MachineID,將其寫入註冊表;
刪除數據備份;
搜索可加密磁盤,記錄到註冊表,為每個可加密磁盤啟動一個勒索病毒進程,參數-agent< IndexInReg >;
在桌面釋放勒索信息文件,使用記事本打開勒索信息文件以提醒用戶。
參數-agent
搜索參數下標對應註冊表中的磁盤,對可加密文件進行加密;
病毒中的字符都通過RC4流對稱加密算法進行加密,待解密數據前32字節為Key,其餘字節為密文。
最後,還有一個勒索文件,文件會告知用戶聯繫黑客進行解密的郵箱。
正式支付贖金前,用戶可以免費解密一個文件,以確認黑客可以正確解密文件。
勒索信的最後也附帶了一句“溫馨提示”:
你最好不要去找解密公司,你還有可能繼續被詐騙。
正如黨妹評價——這封勒索信“超賤的!”
網友出面拯救黨妹,量子位專訪多方專家
看到黨妹的不幸遭遇,網友們紛紛出面置評。
一位網絡攻防博士評價這種病毒:無解。
同時,這位博士強調,”和你暴露真實位置無關“,這也與黨妹視頻中的結論相悖。
也有網友提醒負責安全的IT小哥做好後續保障工作。
當然,許多網友也勸黨妹,千萬不要交錢!
而針對普通用戶,知名up主”翼王“也強調,NAS不應該直接暴露到外網,建議系統使用freenas+ZFS,同時做好備份。
對此,我們也分別採訪了360安全團隊、騰訊安全團隊的專家。
量子位:若是要將數據存儲到類似NAS這樣的服務器中,這個過程務必需要注意些什麼問題?
360安全專家:
建議做個安全排查,不然這個勒索病毒可以種第一次,就有可能種第二次,連真正哪裡出現的問題都不知道,何談保護呢。
安全配置要跟上,不管是專門的NAS服務器,還是自己搭建的服務器,口令安全很重要,不使用簡單口令,補丁要及時打上,不給黑客可趁之機。
另外養成良好的習慣,重要數據多備份,做數據訪問的權限控制,在出現問題之後,也能減小損失。
使用安全防護軟件,可以解決絕大部分安全問題,尤其對小白用戶,安全軟件可能是最好的解決辦法。
網絡安全外,物理安全也不應該忽視,防火防盜防水,斷電保護等等都可能對數據安全造成影響。
騰訊安全專家李鐵軍:
NAS設備是目前不少視頻工作室、UP主、攝影攝像愛好者較多使用的小型雲存儲設備,大多使用Linux系統,另外也有Windows系統及樹莓派DIY的產品。
這些設備的主要特點是方便存儲、方便分享、方便多設備同步,但安全性卻被忽略了。有幾個明顯的風險點:
- 操作系統本身的安全漏洞——並不是所有NAS設備製造商都有能力為用戶提供持續的系統加固和漏洞修復能力;
- 軟件配置管理的漏洞——默認密碼和用戶配置的簡單密碼,都非常容易被暴力破解。
- 在用戶環境,可能較多情況下考慮到使用的方便性,而對安全性沒有足夠認識。比較輕易將設置配置為可以通過公網訪問。這意味著,對所有攻擊者敞開了大門。
就像很久之前有人做過測試:如果一臺不打補丁的Windows電腦接入互聯網,多久會中毒,結果是隻需要幾分鐘。
量子位:視頻內容工作者不要過多暴露工作環境,這是為什麼?黑客會如何利用這些環境信息?
360安全專家:
這位博主被攻擊的原因,可能和這條無關。但是不要過多暴露工作環境,確實對網絡安全防護有積極意義。攻擊者可以利用一些不經意間洩露的信息,獲取到很多有價值的攻擊線索。
比如一張桌面截圖,可能就會洩露用戶的一些使用習慣,安裝了哪些軟件,使用的什麼操作系統,甚至有一些人桌面會存放一些個人隱私信息相關的文檔數據,也會不經意的洩露。
通過這些洩露的信息,黑客就可以較為輕鬆的完成“踩點”工作。
騰訊安全專家李鐵軍:
保護隱私需要從點滴做起,比如隱藏個人信息、工作單位信息,如果使用固定IP接入,IP地址信息等等都需要保護。特別是,如果已經是大V了,意味著身價也高了,攻擊者的興趣會更高。
量子位:若是真的不幸中標,該採取什麼樣的補救措施?
360安全專家:
- 如果剛剛發現中招,建議先切斷網絡,排查受影響情況(比如有多少臺機器中招,都是什麼問題)。
- 如果被加密鎖定數據比較重要,建議做好被加密文件的備份和環境的保護,防止因為環境破壞造成無法解密等。
- 排查中招原因(這一點可能需要尋找專業安全公司的協助),我們經常說,能中挖礦木馬的機器,就很可能再被勒索病毒攻擊。能被攻擊一次,就可能被攻擊第二第三次。意思是,平時就要注意安全防護,小的安全問題,可能就是大的安全問題的徵兆。不徹底排查中招原因,也就無法徹底修復存在的安全問題,再次淪陷的可能性極高。
- 修補存在的安全問題,加強安全意識。
- 恢復數據和信息系統,盡力挽回損失。數據恢復的方式有很多種,根據不同情況有不同的方案,可以尋求專業公司或安全公司的幫助。
騰訊安全專家李鐵軍:
很不幸,對大多數勒索病毒攻擊,是沒有修復解密的辦法的,這也是勒索病毒產業持續危害數年的原因。
對於所有計算機用戶,或採用NAS數據存儲方案的工作室,只能採取事前防禦,提高整個團隊的網絡安全意識,採用專業的安全方案做保護,對數據做好備份。
最後,兩位專家都特意強調一點:
數據備份很重要!!!
勒索病毒受害者,不止於小公司
無獨有偶,最近,不少國外公司也中了勒索病毒的招。
美國製藥巨頭ExecuPharm就是其中一家。在給佛蒙特州總檢察長辦公室的一封信中寫道:
在3月13日遭到勒索軟件攻擊,並警告說,社會保障號碼、財務信息、駕駛執照、護照號碼和其他敏感數據可能已被侵入。
而事情的嚴重程度不止於此。
黑客不僅僅是加密了這家公司數據這麼簡單,由於沒有打錢,他們還將數據公佈到了一個與 CLOP 勒索軟件組織有關的暗網上。
隨後,經ExecuPharm的證實,CLOP正是這次攻擊的幕後黑手。
雖然因為新冠病毒爆發的影響,一些勒索軟件組織已經表態,疫情期間會放過醫療公司。
Clop也表示,它也不會攻擊醫院、療養院或慈善機構,但它認為,“ExecuPharm不具備資格,它是唯一受益於當前疫情的公司”。
(嗯……Clop的說法為何有種”劫富濟貧“的感覺……)
即使是臺積電這樣的巨頭,也中過勒索病毒的招,2018年臺積電的電腦因為中毒導致產線停機,整個過程損失達17.6億元。而原因是公司Windows 7電腦的445端口未關閉,被黑客植入病毒。
無論公司大小,粉絲多少,數據安全大於天,防患意識不能無!
不說了,我要去給獨享資源們挨個備份一下了。
參考鏈接:
https://www.bilibili.com/video/BV1ii4y1t7i1
https://www.bilibili.com/video/BV1EV411f72u
https://www.bilibili.com/video/BV1CJ411X7xy
https://techcrunch.com/2020/04/27/execupharm-clop-ransomware/
https://bbs.360.cn/thread-15826036-1-1.html
https://m.weibo.cn/6105753431/4492812131224447
— 完 —
量子位 QbitAI · 頭條號簽約
關注我們,第一時間獲知前沿科技動態
