Categories
程式開發

B站知名UP主:我被勒索了!


4 月 27 日,B 站知名 UP 主“機智的黨妹”發布了一個視頻——《我被勒索了!》。據視頻介紹,黨妹遭遇網絡攻擊,並被黑客勒索,“現階段所有正在製作的視頻素材全部被勒索軟件加密”。黑客希望黨妹“交出贖金,贖回人質”。

B站知名UP主:我被勒索了! 1

據悉,機智的黨妹在B站有 559 萬粉絲,投稿總數為 151,視頻累計播放量高達 2.5 億。並且,它還是 bilibili 2019 百大 UP 主,年度多元創新 UP 主。

事件詳情

據黨妹介紹,為滿足公司日益增長的存儲需求,公司花費十幾萬在內部網絡搭建了一個 NAS 系統。經過長時間的測試和維護後,NAS 系統在 4 月 26 日(即投入使用第一天)遭遇黑客攻擊,電腦中的所有文件都被加密,無法打開。

B站知名UP主:我被勒索了! 2

據該公司的 IT 人員稱,”通過查看後台日誌,發現是由病毒自動生成並留在那裡的。“雖然查到 IP 是在北京的一家圖書館,不過,這個 IP 很有可能是偽造的。因此,無法追查到源頭。

B站知名UP主:我被勒索了! 3

事後,這家公司馬上報警。雖然民警應對迅速,安排專員,並聯繫網安部門,但是對情況進行速查和評估後,最後反饋是無法立案,因為沒有造成實際經濟損失。最後,擺在黨妹的面前只有兩條路:一個是交錢,另外一個是找解密公司。

不過,在視頻中,黨妹也反思“安全意識確實相當欠缺,才給了黑客可乘之機”。而這家公司的 IT 人員則表示,“我們安全體係做得不夠。”

攻擊分析

據視頻介紹,該勒索軟件被確定為 Buran 勒索病毒。公開資料顯示,Buran 勒索病毒首次出現於 2019 年 5 月,它是一款基於 RaaS(勒索軟件即服務)模式傳播的新型勒索病毒。 2019 年 10 月,騰訊安全發現 Buran 勒索病毒傳入國內。

RaaS(勒索軟件即服務)——惡意軟件作者招募“分發者”擴散感染再抽成的一種商業模式。

有安全研究人員認為,Buran 是 Jumper 勒索病毒的變種樣本,同時 VegaLocker 勒索病毒是該家族最初的起源。由於其豐厚的利潤,它開始在全球範圍內迅速傳播感染。

據黨妹介紹,“這個勒索病毒只能攻擊Windows 系統,它會運行自身,對硬盤裡的其他文件進行加密。加密完之後,留下郵箱的TXT 文檔,再把自己刪除。並且這個勒索病毒沒有特定的密鑰,像360、火絨等殺毒公司都對這個病毒束手無策。更可怕的是,病毒在攻擊前無法預警。”

根據火絨安全實驗室的分析,攻擊有兩種可能:

  1. 黨妹內網中有 Windows 終端感染勒索病毒,由於她的 NAS 是以網絡驅動器映射(文件共享)的方式進行訪問,所以被同時加密了網絡驅動器內的文件(即 NAS 內的文件);
  2. 黨妹的 NAS 服務器開啟了暴露在外的功能,黑客通過外網攻破並勒索。

不過,火絨認為,從已有信息看,第一種可能性更大,當然具體情況還要看現場分析。

網友評論

一名Mrhanss 的網友稱,“這應該不是定向攻擊,勒索病毒和普通病毒一樣是廣撒網的。安全方面,這種公司內部的,最好內網隔離。數據備份也要注意隔離。Linux 相對安全性高一些,可以考慮使用Linux,當然還要結合需求看是否適合。解密難度略大,失敗機率高,交贖金的話,他們未必守信。可以做下評估,重新制定安全策劃。it 小哥不要划水,安全問題你有責任,做好後續安全保障。”

還有網友表示,“真的生氣,黨妹和其他 UP 主做視頻真的很不容易,費盡心思保證質量,被敲詐勒索太過分了。黨妹一定要當心啊!支持黨妹!”

可怕的勒索軟件

勒索軟件是一種特殊的木馬軟件類型。據悉,常見的勒索軟件可以立即鎖定目標用戶的文件、應用程序、數據庫信息和業務系統相關的重要信息,直到受害者支付贖金才能通過攻擊者提供的秘鑰恢復訪問。

據悉,勒索軟件攻擊由來已久。早在上世紀90年代末,就有通過偽造反病毒程序進行欺詐性勒索的攻擊案例。 2017年,WannaCry席捲全球,勒索軟件才變得“人盡皆知”。

B站知名UP主:我被勒索了! 4

目前,勒索軟件已經成為一種主流的黑客攻擊手段。據《2019年我國互聯網網絡安全態勢綜述》(簡稱“綜述”)表明,2019年,CNCERT捕獲勒索病毒73.1萬餘個,較2018年增長超過4倍,勒索病毒活躍程度持續居高不下。分析發現,勒索病毒攻擊活動越發具有目標性,且以文件服務器、數據庫等存有重要數據的服務器為首要目標,通常利用弱口令、高危漏洞、釣魚郵件等作為攻擊入侵的主要途徑或方式。勒索攻擊表現出越來越強的針對性,攻擊者針對一些有價值的特定單位目標進行攻擊,利用較長時期的探測、掃描、暴力破解、嘗試攻擊等方式,進入目標單位服務器,再通過漏洞工具或黑客工具獲取內部網絡計算機賬號密碼實現在內部網絡橫向移動,攻陷並加密更多的服務器。

“綜述”還指出:勒索病毒 GandCrab 的“商業成功”引爆互聯網地下黑灰產,進一步刺激互聯網地下黑灰產組織對勒索病毒的製作、分發和攻擊技術的快速迭代更新。

GandCrab,它被譽為勒索軟件之王。在2019年6月,GandCrab的運營者稱在一年半的時間內獲利20億美元,並發表官方聲明稱該勒索病毒將停止更新。

如何應對勒索軟件?

面對勒索軟件,我們給出一些建議,希望有助於你。

針對個人用戶:

  • 及時給電腦打補丁,修復漏洞;
  • 謹慎打開來歷不明的郵件,點擊其中鏈接或下載附件,防止網絡掛馬和郵件附件攻擊;
  • 盡量不要點擊 office 宏運行提示,避免來自 office 組件的病毒感染;
  • 需要的軟件從正規(官網)途徑下載,不要用雙擊方式打開.js、.vbs、.bat 等後綴名的腳本文件;
  • 升級防病毒軟件到最新的防病毒庫,阻止已知病毒樣本的攻擊;
  • 開啟 Windows Update 自動更新設置,定期對系統進行升級;
  • 養成良好的備份習慣,對重要數據文件定期進行非本地備份,及時使用網盤或移動硬盤備份個人重要文件;
  • 更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一台被攻破,多台遭殃,黑客會通過相同的弱密碼攻擊其它主機;
  • 如果業務上無需使用 RDP 的,建議關閉 RDP,以防被黑客 RDP 爆破攻擊。

針對企業用戶:

  • 盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸。

  • 盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。

  • 採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。建議服務器密碼使用高強度且無規律密碼,並且強制要求每個服務器使用不同密碼管理。

  • 對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊後作為跳板進一步攻擊其他服務器。

  • 做好安全災備方案,可按數據備份三二一原則來指導實施。