本文经AI新媒体量子比特(公众号ID:QbitAI)授权转载,转载请联系出处。最近真的很难。需要防范新冠病毒和勒索病毒。昨日,拥有556万粉丝的B站up主“SmartPartyGirl”发布视频称,自己遭到勒索病毒攻击。她制作的数百G视频素材文件全部被病毒加密劫持,黑客只留下一封勒索信:想拿回这些素材?乖乖交赎金。据B站数据可视化up主“海狸LePtC”统计,截至2020年4月3日,当美在B站所有up主中排名第13位。考虑到前面有3个公众号,当美基本上可以说是B站前十的第三方up主。她在B站的粉丝数比李子柒、郭洁瑞、美食作家王刚、何同学、朱曾、罗向老师都高、冯提莫、半佛神都有不少up主在多个平台爆红。而且B站的精品视频制作成本高,制作时间长。因此,存储的资料加密后,当美这个百万起家主准备的很多视频暂时无法发布。流量方面,以当美最近每个视频的300万播放量来看,估计会有几百万甚至几千万的流量流失。唉,写个10W+文的作者会惊喜的感觉心在滴血。你可能会认为,如果粉丝群在这里,制作一些视频也会产生流量。但是当美的单个视频的成本也是相当高的。B站up主、前LPLLPL视频制作组成员《-LKs-》分析,当美很多视频的复杂度接近低成本商业片,团队出行、场地、设备、服务渠道等成本增加。好像有的视频制作成本可以达到6位数。就算疫情期间不能出去拍大片,最近更新的这种歌舞视频的制作成本恐怕不亚于小规模的MV。对于从事内容生产的小微企业来说,疫情本身对自身业务也有一定的影响,高成本内容素材的流失更是雪上加霜。NAS搭建的第一天,就被黑客妹子介绍给她了。为了方便存储数百GB的视频素材,她所在的公司斥资10万多元自建了一套NAS系统,相当于公司里的每个人都可以访问公有硬盘,或者私有云。NAS搭建并测试了一段时间后,在投入使用的第一天就被黑了。黑客使用了一种名为Buran的勒索病毒,专门攻击Windows系统。遭到攻击后,NAS中的所有文件都变成了奇怪的格式,无法打开使用,黑客还在文件夹中留下了.txt格式的勒索信:!!!ALLYOURFILESAREENCRYPTED!!!!!!!您的所有文件都已加密!!!信中说这台NAS的所有文档、照片、数据等都已经加密,不要尝试自己解密,恢复文件的唯一方法就是购买一个唯一的密钥,只有这个密钥才能解密这些文件。如果受害者想要验证黑客所说的是否属实,他们必须向黑客发送电子邮件并免费解锁一个文件来证明这一点。当然不能是重要文件,不然黑客怎么赚钱。黑客为受害人留下了一串ID,他们需要向两个特定的邮箱发送邮件,并使用这串ID来标识自己,并与黑客协商解锁文件。并且黑客还提醒,不要重命名这些文件,也不要使用第三方软件解密,不仅可能文件丢失,而且因为成本增加,黑客会收取更高的解密费用,甚至第三方当事人也可能是骗子。让受害人进入套娃骗局。新加入当美公司的IT小哥查看日志发现,勒索信是由病毒程序自动生成的,IP地址为北京某图书馆。当然,很有可能是黑客故意假装在图书馆,无法再详细查到出处。党妹也有些遗憾,“之前经常接到大家的提醒,录视频有危险,不要暴露出租房周边的太多信息。”毕竟个人IP强的up主肯定会介绍自己的新房,出门拍视频的时候,往往会把出门打车的过程记录下来作为过渡,难免会让人判断是哪个地区的他们所在的城市。当美发现自己被袭击后,迅速报警,民警迅速立案,做好笔录,并联系网安部门进行快速排查评估。但视频的价值难以厘清,走“就餐模式”的up主,如果视频不对劲,不会有直接的经济损失,所以不能立案。警方建议当美找数据恢复公司,但勒索信中称最好不要找第三方解密,因为可能被套娃骗或者解密不成功黑客会涨价.现在,当美也很遗憾,安全意识的缺乏给了黑客可乘之机。希望其他up主和粉丝注意信息安全。在没有预警的情况下,此次攻击的技术难度为0。经过当美团队的一系列排查,大概率将目标锁定在名为Buran的勒索病毒上。经研究,当美团队对Buran的解释如下:只能攻击Windows系统。它会自己运行,加密硬盘上的其他文件,在邮箱里留下一个TXT文件,然后自己删除。Buran没有特定的密钥,无法解锁,360、Tinder等公司也束手无策。它也没有办法在攻击前发出预警。最可怕的是,这种攻击的技术难度几乎为0:只需要知道IP地址,通过穷举法破译密码,获得一系列权限即可。看着党美认真复述被“宰杀”的过程,也很心疼……我们也梳理了暴风病毒入侵的详细过程。Buran勒索病毒启动后,会根据不同的参数执行不同的动作。一开始应该以无参数状态启动。主要有以下三种情况:不带参数将病毒传送到指定目录并设置自启动,带参数-start重启新目录下的病毒文件,删除当前执行目录下的病毒文件并退出;如果以上操作失败,则继续执行参数-Behavioratstart。参数为-start生成用户的RSA公钥和病毒自定义MachineID,写入注册表;删除数据备份;搜索可加密磁盘,记录在注册表中,对每一个可加密磁盘启动一个勒索进程,参数-agent;释放桌面上的勒索信息文件,用记事本打开勒索信息文件提醒用户。参数-agent搜索参数下标对应注册表中的磁盘,对加密文件进行加密;病毒中的字符采用RC4流对称加密算法进行加密,待解密数据的前32字节为Key,其余字节为加密术。最后还有一个勒索文件,会告知用户邮箱联系黑客解密。在支付赎金之前,用户可以免费解密一个文件,以确认黑客可以正确解密文件。在勒索信的最后,还有一句“温馨提示”:你最好不要去解密公司,可能会继续被骗。正如党妹评论的那样——这封勒索信“超级便宜!”网友出面拯救当美,量子比特采访了多位专家,看到了当美的不幸,也有网友出面评论。某网络攻防博士评价此病毒:无解。同时,医生强调,“这与暴露你的真实位置无关”,这也与当美视频中的结论相悖。也有网友提醒负责安全的IT小哥做好后续防护工作。当然,也有不少网友劝当美不要付费!对于普通用户,知名up主“王一”也强调NAS不要直接暴露在外网。建议系统使用freenas+ZFS,同时做好备份。对此,我们也采访了?安全团队和腾讯安全团队的专家。量子比特:如果要将数据存储在像NAS这样的服务器中,在这个过程中需要注意哪些问题?360安全专家:建议做安全排查,不然这个勒索病毒可能是第一次被种草,还有可能被第二次种草。你连真正的问题出在哪里都不知道,谈何保护。安全配置必须跟上。无论是专用的NAS服务器还是自己搭建的服务器,密码安全都非常重要。不使用简单密码,要及时打补丁,防止黑客利用。此外,养成多备份重要数据的好习惯,做好数据访问权限控制,也能减少出现问题后的损失。使用安全防护软件可以解决大部分的安全问题,尤其是对于新手用户来说,安全软件可能是最好的解决方案。除了网络安全,物理安全也不容忽视。防火、防盗、防水、断电保护等都可能影响数据安全。腾讯安全专家李铁军:NAS设备是很多影音工作室、UP主、摄影爱好者使用的小型云存储设备。大多使用Linux系统,也有Windows系统和树莓派DIY产品。这些设备的主要特点是存储方便、共享方便、多设备同步方便,但安全性却被忽视了。有几个明显的风险点:操作系统本身存在安全漏洞——并非所有NAS设备制造商都有能力为用户提供持续的系统加固和漏洞修复能力;软件配置管理漏洞——默认密码和用户配置的Simple密码很容易被暴力破解。在用户环境中,很多时候可能会考虑到使用的便利性,但是安全意识还不够。将设置配置为可通过公共网络访问相对容易。这意味着,大门向所有攻击者敞开。就像很久以前有人做过一个测试:如果一台未打补丁的Windows电脑上网,多久会被感染?事实证明,这只需要几分钟。量子位:视频内容工作者不应该过多暴露他们的工作环境。为什么?黑客可能如何使用这些环境信息?360安全专家:博主之所以被攻击,可能与本文无关。但不要过多暴露工作环境,对网络安全防护确实有积极意义。攻击者可以利用一些不经意间泄露的信息获取很多有价值的攻击线索。例如,桌面的截图可能会揭示一些用户习惯,安装了哪些软件,使用的是什么操作系统。有些人甚至会在桌面上存放一些个人隐私信息,不经意间就会泄露。通过这些泄露的信息,黑客可以轻松完成“踩点”工作。腾讯安全专家李铁军:保护隐私需要从小事做起,比如隐藏个人信息、工作单位信息,如果使用固定IP访问,IP地址信息等都需要保护。特别是如果已经是大V,说明身家也高,攻击者的利益也会更高。量子比特:如果真的不幸中标,应该采取哪些补救措施?360安全专家:如果刚发现自己被黑了,建议先断网,查看受影响的情况(比如有多少台机器被黑,有什么问题)。如果加密和锁定的数据比较重要,建议备份加密文件和保护环境,以防止因环境破坏而解密。调查攻击原因(这可能需要专业安全公司的协助)。我们常说,一台能被挖矿木马攻击的机器,很有可能再次被勒索病毒攻击。如果你能被攻击一次,你可能会被攻击第二次或第三次。就是平时要注意安全防护。小的安全问题可能是大安全问题的征兆。如果不彻底查清攻击原因,现有的安全问题无法彻底修复,再次坠落的可能性极高。修复存在的安全问题,增强安全意识。恢复数据和信息系统,尽力挽回损失。恢复数据的方法有很多种,根据不同的情况有不同的方案。可以向专业公司或保安公司寻求帮助。腾讯安全专家李铁军:遗憾的是,对于大多数勒索软件攻击,都没有办法修复和解密,这也是勒索软件行业多年来持续危害的原因。对于所有电脑用户,或者使用NAS数据存储方案的工作室,只能提前做好防范,提高整个团队的网络安全意识,使用专业的安全方案进行防护,做好数据备份。最后,两位专家都强调了一点:数据备份很重要!!!勒索软件的受害者不仅限于小公司。近期,不少国外企业也被勒索病毒给骗了。美国制药巨头ExecuPharm就是其中之一。在3月13日遭到勒索软件攻击的佛蒙特州总检察长办公室的一封信中,它警告说,社会安全号码、财务信息、驾照、护照号码和其他敏感数据可能已被泄露。入侵。而事情的严重性还不止于此。黑客不仅加密了公司的数据,他们还将数据发布到与CLOP勒索软件组相关联的暗网上,但没有汇款。后来,ExecuPharm证实CLOP是这次攻击的幕后黑手。尽管受新冠病毒疫情影响,部分勒索软件组织已表示,将在疫情期间放过医疗企业。Clop还表示不会攻击医院、疗养院或慈善机构,但辩称“ExecuPharm不符合条件,它是唯一一家从当前疫情中受益的公司”。(嗯……为什么Clop的说法有种“劫富济贫”的感觉……)连台积电这样的巨头都中过勒索病毒的当。2018年,台积电的电脑生产线因中毒而停产,整个制程都丢失了。达到17.6亿元。原因是公司Windows7电脑445端口没有关闭,被黑客植入了病毒。无论公司规模,还是粉丝数量,数据安全都是重中之重,防范意识缺一不可!话不多说,独家资源我都一一备份。
