13

交钱还素材!B 站百大up主党妹被黑客勒索后续:安全公司无法破解 - 安全 - cnBeta.COM

 4 years ago
source link: https://www.cnbeta.com/articles/tech/972903.htm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

交钱还素材!B 站百大up主党妹被黑客勒索后续:安全公司无法破解

2020年04月29日 10:46 次阅读 稿源:雷锋网 条评论

昨天,广大宅男们有点伤心。4 月27 日傍晚,B站知名 up主发视频称自己被黑客勒索了,她正在制作的数百个 GB 的视频素材文件,全都被病毒加密绑架,黑客只留下一封勒索信称:要想拿回素材,乖乖交钱吧。

0b532364788c946.png

这可急坏了宅男粉,甚至喊话黑客:“敢动我老婆,等着被我等暗杀吧”!

a398c69b8aef2fc.jpg

话虽如此,但事情远没那么简单。

党妹是何许人?

那么,万千宅男粉为她声讨的党妹究竟是谁?

这还要从 B 站说起。八年前, B 站还是“一个 ACG 相关的弹幕视频分享网站”,用户们自嘲这是一个“小破站”;后来变成了“国内首屈一指的‘年轻一代潮流文化社区’” ;2019 年 5 月,B 站月活跃用户首次破亿。它的受欢迎程度可见一斑。

而 UP主,则是指在视频网站、论坛等上传视频音频文件的人。根据发音,也被网友亲切地称为“阿婆主”。最初的 UP 主多为搬运工,后来逐步转变为内容生产者,散布在无奇不有的各大兴趣领域里。

官方数据显示,目前 B 站月活跃 UP主有 73 万,每个月投稿原创视频数量有 208 万。

对很多 UP 主来说,更新视频是起于兴趣,源于热爱。但“一不小心”走红以后,事情就不一样了。

党妹就是其中一个走红的 up 主,专注美妆,人称“ B站换头怪”,凭借其精湛的化妆技术吸粉无数。

47cdb297bc3f9d4.jpg

而据 B站 up主“-LKs-”的分析,党妹不少视频的复杂程度接近小成本商业片,团队差旅、场地、设备、服化道等成本加起来,有些视频制作成本能达到 6 位数。

9d4cdf3063d941e.png

所以,黑客的这一行为将会让这位百万 up 主准备的许多视频都暂时无法发布了,按照其日常的播放量估算,损失的流量可不是一星半点了。

党妹是怎么被勒索的?

正如B站 up主“-LKs-”的分析,up 主们拍摄一期视频不仅要耗费人力、物力,还有很重要的一点就是素材内容拍摄,一旦素材内容丢失,一切都要重头开始,所以对于党妹这类的当红博主来说,损失也是致命的。

所以,为了更好的保存素材,党妹所在的公司特地搭建了一个 NSA 系统来存储视频素材,相当于一个公有硬盘。

4a0898859ccb3db.png

可万万没想到,投入使用的第一天就被攻击了。

据党妹介绍,黑客用一种名为 Buran 的勒索病毒攻击了他们搭建的 NAS 系统,这个病毒只攻击 Windows 系统,一旦被其攻击,它会自行运行硬盘里的文件对其加密,然后删除自身痕迹,并且这个病毒没有特定的钥匙就无法解开,攻击前也不会得到任何预警,所以,他们几乎在未察觉并且无力反击的情况下被攻击了。

目前的情况是:NAS 里的所有文件都被改成了奇怪的格式,无法打开使用,而且黑客还在文件夹里留下了一封.txt 格式的勒索信:

a194872b729f67b.png

!!!你所有的文件都被加密了!!!

不要试图自己解密,恢复文件的唯一办法是购买一个独一无二的密匙,只有这个密匙才能解密这些文件。还留下了一串 ID,需要给两个特定的邮箱发邮件联系,并通过这串 ID 来表明身份,与黑客谈判才能解开文件。

最后,黑客还提醒,不要重命名这些文件,也不要用第三方软件解密,不仅会有可能让文件丢失,而且还因为成本增加,黑客会收更高的解密费用,甚至第三方可能也是个骗子,让被攻击者进入套娃式骗局。

收到勒索信的党妹,马上向网安报警,但得到的结果是无法立案,只能找数据安全公司解决。

0dfaaffd2825609.png

所以,现在摆在他们面前的只有两条路,一是交钱赎回素材,二是找到可靠的数据安全公司破解,但据党妹介绍,目前,360 、火绒等安全公司还没有破解方式。

如果不给黑客赎金,怎么破?

360 方面表示今年 1 月份,360 安全大脑曾发布针对Buran 勒索病毒的预警,并对 Buran 勒索病毒的活动全程进行了详细分析:

Buran勒索病毒启动后根据参数不同,执行不同的动作,初始时应是无参数状态启动。主要有以下三种情况:

(1)无参数时,主要完成行为有:转移病毒到指定目录并设置自启动,以参数-start重起新目录下病毒文件,删除当前执行目录下病毒文件并退出;如果以上行为失败,则继续执行参数-start时的行为;

9a9dbc2c697f5ef.png

(2)参数为-start时:生成用户 RSA 公钥和病毒自定义 MachineID,将其写入注册表;删除数据备份;搜索可加密磁盘,记录到注册表,为每个可加密磁盘启动一个勒索病毒进程,参数-agent< IndexInReg >;在桌面释放勒索信息文件,使用记事本打开勒索信息文件以提醒用户;

(3)参数-agent<IndexInReg>:搜索参数下标对应注册表中的磁盘,对可加密文件进行加密。病毒中的字符都通过RC4流对称加密算法进行加密,待解密数据前 32 字节为 Key, 其余字节为密文。

360 也给出了中招勒索病毒的补救措施:

1、如果刚刚发现中招,建议先切断网络,排查受影响情况(比如有多少台机器中招,都是什么问题)。

2、如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。

3、排查中招原因,(这一点可能需要寻找专业安全公司的协助)我们经常说,能中挖矿木马的机器,就很可能再被勒索病毒攻击。能被攻击一次,就可能被攻击第二第三次。意思是,平时就要注意安全防护,小的安全问题,可能就是大的安全问题的征兆。不彻底排查中招原因,也就无法彻底修复存在的安全问题,再次沦陷的可能性极高。

4、修补存在的安全问题,加强安全意识。

5、恢复数据和信息系统,尽力挽回损失。数据恢复的方式有很多种,根据不同情况有不同的方案,可以寻求专业公司或安全公司的帮助。

对于视频工作者来说,则不要过多暴露工作环境,因为攻击者可以利用一些不经意间泄露的信息,获取到很多有价值的攻击线索,比如一张桌面截图,可能就会泄露用户的一些使用习惯,安装了哪些软件,使用的什么操作系统,甚至有一些人桌面会存放一些个人隐私信息相关的文档数据,也会不经意的泄露。通过这些泄露的信息,黑客就可以较为轻松的完成“踩点”工作,比如掌握了用户常用软件情况,就可以针对性的寻找相应的软件漏洞,发起攻击。有些截图,可能带上了内网管理页面的地址,也会被留心的攻击者注意到,尝试去访问攻击等。

当然,最好的办法还是要对数据备份。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK