昨天，廣大宅男們有點(diǎn)傷心。

4 月27 日傍晚，B站知名 up主發(fā)視頻稱(chēng)自己被黑客勒索了，她正在制作的數(shù)百個(gè) GB 的視頻素材文件，全都被病毒加密綁架，黑客只留下一封勒索信稱(chēng)：要想拿回素材，乖乖交錢(qián)吧。

這可急壞了宅男粉，甚至喊話黑客：“敢動(dòng)我老婆，等著被我等暗殺吧”！

話雖如此，但事情遠(yuǎn)沒(méi)那么簡(jiǎn)單。

黨妹是何許人？

那么，萬(wàn)千宅男粉為她聲討的黨妹究竟是誰(shuí)？

這還要從 B 站說(shuō)起。八年前， B 站還是“一個(gè) ACG 相關(guān)的彈幕視頻分享網(wǎng)站”，用戶(hù)們自嘲這是一個(gè)“小破站”；后來(lái)變成了“國(guó)內(nèi)首屈一指的‘年輕一代潮流文化社區(qū)’” ；2019 年 5 月，B 站月活躍用戶(hù)首次破億。它的受歡迎程度可見(jiàn)一斑。

而 UP主，則是指在視頻網(wǎng)站、論壇等上傳視頻音頻文件的人。根據(jù)發(fā)音，也被網(wǎng)友親切地稱(chēng)為“阿婆主”。最初的 UP 主多為搬運(yùn)工，后來(lái)逐步轉(zhuǎn)變?yōu)閮?nèi)容生產(chǎn)者，散布在無(wú)奇不有的各大興趣領(lǐng)域里。

官方數(shù)據(jù)顯示，目前 B 站月活躍 UP主有 73 萬(wàn)，每個(gè)月投稿原創(chuàng)視頻數(shù)量有 208 萬(wàn)。

對(duì)很多 UP 主來(lái)說(shuō)，更新視頻是起于興趣，源于熱愛(ài)。但“一不小心”走紅以后，事情就不一樣了。

黨妹就是其中一個(gè)走紅的 up 主，專(zhuān)注美妝，人稱(chēng)“ B站換頭怪”，憑借其精湛的化妝技術(shù)吸粉無(wú)數(shù)。

而據(jù) B站 up主「-LKs-」的分析，黨妹不少視頻的復(fù)雜程度接近小成本商業(yè)片，團(tuán)隊(duì)差旅、場(chǎng)地、設(shè)備、服化道等成本加起來(lái)，有些視頻制作成本能達(dá)到 6 位數(shù)。

所以，黑客的這一行為將會(huì)讓這位百萬(wàn) up 主準(zhǔn)備的許多視頻都暫時(shí)無(wú)法發(fā)布了，按照其日常的播放量估算，損失的流量可不是一星半點(diǎn)了。

黨妹是怎么被勒索的？

正如B站 up主「-LKs-」的分析，up 主們拍攝一期視頻不僅要耗費(fèi)人力、物力，還有很重要的一點(diǎn)就是素材內(nèi)容拍攝，一旦素材內(nèi)容丟失，一切都要重頭開(kāi)始，所以對(duì)于黨妹這類(lèi)的當(dāng)紅博主來(lái)說(shuō)，損失也是致命的。

所以，為了更好的保存素材，黨妹所在的公司特地搭建了一個(gè) NSA 系統(tǒng)來(lái)存儲(chǔ)視頻素材，相當(dāng)于一個(gè)公有硬盤(pán)。

可萬(wàn)萬(wàn)沒(méi)想到，投入使用的第一天就被攻擊了。

據(jù)黨妹介紹，黑客用一種名為 Buran 的勒索病毒攻擊了他們搭建的 NAS 系統(tǒng)，這個(gè)病毒只攻擊 Windows 系統(tǒng)，一旦被其攻擊，它會(huì)自行運(yùn)行硬盤(pán)里的文件對(duì)其加密，然后刪除自身痕跡，并且這個(gè)病毒沒(méi)有特定的鑰匙就無(wú)法解開(kāi)，攻擊前也不會(huì)得到任何預(yù)警，所以，他們幾乎在未察覺(jué)并且無(wú)力反擊的情況下被攻擊了。

目前的情況是：NAS 里的所有文件都被改成了奇怪的格式，無(wú)法打開(kāi)使用，而且黑客還在文件夾里留下了一封.txt 格式的勒索信：

!!!你所有的文件都被加密了!!! 

不要試圖自己解密，恢復(fù)文件的唯一辦法是購(gòu)買(mǎi)一個(gè)獨(dú)一無(wú)二的密匙，只有這個(gè)密匙才能解密這些文件。還留下了一串 ID，需要給兩個(gè)特定的郵箱發(fā)郵件聯(lián)系，并通過(guò)這串 ID 來(lái)表明身份，與黑客談判才能解開(kāi)文件。

最后，黑客還提醒，不要重命名這些文件，也不要用第三方軟件解密，不僅會(huì)有可能讓文件丟失，而且還因?yàn)槌杀驹黾?，黑客?huì)收更高的解密費(fèi)用，甚至第三方可能也是個(gè)騙子，讓被攻擊者進(jìn)入套娃式騙局。

收到勒索信的黨妹，馬上向網(wǎng)安報(bào)警，但得到的結(jié)果是無(wú)法立案，只能找數(shù)據(jù)安全公司解決。

所以，現(xiàn)在擺在他們面前的只有兩條路，一是交錢(qián)贖回素材，二是找到可靠的數(shù)據(jù)安全公司破解，但據(jù)黨妹介紹，目前，360 、火絨等安全公司還沒(méi)有破解方式。

如果不給黑客贖金，怎么破？

雷鋒網(wǎng)也就此詢(xún)問(wèn)了 360 ，360 方面表示今年 1 月份，360 安全大腦曾發(fā)布針對(duì)Buran 勒索病毒的預(yù)警，并對(duì) Buran 勒索病毒的活動(dòng)全程進(jìn)行了詳細(xì)分析：

Buran勒索病毒啟動(dòng)后根據(jù)參數(shù)不同，執(zhí)行不同的動(dòng)作，初始時(shí)應(yīng)是無(wú)參數(shù)狀態(tài)啟動(dòng)。主要有以下三種情況：
（1）無(wú)參數(shù)時(shí)，主要完成行為有：轉(zhuǎn)移病毒到指定目錄并設(shè)置自啟動(dòng)，以參數(shù)-start重起新目錄下病毒文件，刪除當(dāng)前執(zhí)行目錄下病毒文件并退出；如果以上行為失敗，則繼續(xù)執(zhí)行參數(shù)-start時(shí)的行為；

（2）參數(shù)為-start時(shí)：生成用戶(hù) RSA 公鑰和病毒自定義 MachineID，將其寫(xiě)入注冊(cè)表；刪除數(shù)據(jù)備份；搜索可加密磁盤(pán)，記錄到注冊(cè)表，為每個(gè)可加密磁盤(pán)啟動(dòng)一個(gè)勒索病毒進(jìn)程，參數(shù)-agent< IndexInReg >；在桌面釋放勒索信息文件，使用記事本打開(kāi)勒索信息文件以提醒用戶(hù)；

（3）參數(shù)-agent<IndexInReg>：搜索參數(shù)下標(biāo)對(duì)應(yīng)注冊(cè)表中的磁盤(pán)，對(duì)可加密文件進(jìn)行加密。病毒中的字符都通過(guò)RC4流對(duì)稱(chēng)加密算法進(jìn)行加密，待解密數(shù)據(jù)前 32 字節(jié)為 Key, 其余字節(jié)為密文。

360 也給出了中招勒索病毒的補(bǔ)救措施：

1、如果剛剛發(fā)現(xiàn)中招，建議先切斷網(wǎng)絡(luò)，排查受影響情況（比如有多少臺(tái)機(jī)器中招，都是什么問(wèn)題）。

2、如果被加密鎖定數(shù)據(jù)比較重要，建議做好被加密文件的備份和環(huán)境的保護(hù)，防止因?yàn)榄h(huán)境破壞造成無(wú)法解密等。

3、排查中招原因，（這一點(diǎn)可能需要尋找專(zhuān)業(yè)安全公司的協(xié)助）我們經(jīng)常說(shuō)，能中挖礦木馬的機(jī)器，就很可能再被勒索病毒攻擊。能被攻擊一次，就可能被攻擊第二第三次。意思是，平時(shí)就要注意安全防護(hù)，小的安全問(wèn)題，可能就是大的安全問(wèn)題的征兆。不徹底排查中招原因，也就無(wú)法徹底修復(fù)存在的安全問(wèn)題，再次淪陷的可能性極高。

4、修補(bǔ)存在的安全問(wèn)題，加強(qiáng)安全意識(shí)。

5、恢復(fù)數(shù)據(jù)和信息系統(tǒng)，盡力挽回?fù)p失。數(shù)據(jù)恢復(fù)的方式有很多種，根據(jù)不同情況有不同的方案，可以尋求專(zhuān)業(yè)公司或安全公司的幫助。

對(duì)于視頻工作者來(lái)說(shuō)，則不要過(guò)多暴露工作環(huán)境，因?yàn)楣粽呖梢岳靡恍┎唤?jīng)意間泄露的信息，獲取到很多有價(jià)值的攻擊線索，比如一張桌面截圖，可能就會(huì)泄露用戶(hù)的一些使用習(xí)慣，安裝了哪些軟件，使用的什么操作系統(tǒng)，甚至有一些人桌面會(huì)存放一些個(gè)人隱私信息相關(guān)的文檔數(shù)據(jù)，也會(huì)不經(jīng)意的泄露。通過(guò)這些泄露的信息，黑客就可以較為輕松的完成“踩點(diǎn)”工作，比如掌握了用戶(hù)常用軟件情況，就可以針對(duì)性的尋找相應(yīng)的軟件漏洞，發(fā)起攻擊。有些截圖，可能帶上了內(nèi)網(wǎng)管理頁(yè)面的地址，也會(huì)被留心的攻擊者注意到，嘗試去訪問(wèn)攻擊等。

當(dāng)然，最好的辦法還是要對(duì)數(shù)據(jù)備份。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考來(lái)源：

[1]https://www.bilibili.com/video/BV1ii4y1t7i1

[2]https://mp.weixin.qq.com/s/6_KtRKTNzVi87EpL8vp6aQ

[3]https://www.zhihu.com/question/338679880

[4]http://www.it-times.com.cn/a/hulianwang/2020/0119/31431.html

[5]https://www.bilibili.com/video/BV1CJ411X7xy

[6]http://tech.ynet.com/2020/01/02/2303443t3264.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。