黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

交钱还素材!B 站百大 up 主党妹被黑客勒索,安全公司无方破解,只能拦截


昨天,广大宅男们有点伤心。

4 月27 日傍晚,B站知名 up主发视频称自己被黑客勒索了,她正在制作的数百个 GB 的视频素材文件,全都被病毒加密绑架,黑客只留下一封勒索信称:要想拿回素材,乖乖交钱吧。

这可急坏了宅男粉,甚至喊话黑客:“敢动我老婆,等着被我等暗杀吧”!

话虽如此,但事情远没那么简单。

党妹是何许人?

那么,万千宅男粉为她声讨的党妹究竟是谁?

这还要从 B 站说起。八年前, B 站还是“一个 ACG 相关的弹幕视频分享网站”,用户们自嘲这是一个“小破站”;后来变成了“国内首屈一指的‘年轻一代潮流文化社区’” ;2019 年 5 月,B 站月活跃用户首次破亿。它的受欢迎程度可见一斑。

而 UP主,则是指在视频网站、论坛等上传视频音频文件的人。根据发音,也被网友亲切地称为“阿婆主”。最初的 UP 主多为搬运工,后来逐步转变为内容生产者,散布在无奇不有的各大兴趣领域里。

官方数据显示,目前 B 站月活跃 UP主有 73 万,每个月投稿原创视频数量有 208 万。

对很多 UP 主来说,更新视频是起于兴趣,源于热爱。但“一不小心”走红以后,事情就不一样了。

党妹就是其中一个走红的 up 主,专注美妆,人称“ B站换头怪”,凭借其精湛的化妆技术吸粉无数。

而据 B站 up主「-LKs-」的分析,党妹不少视频的复杂程度接近小成本商业片,团队差旅、场地、设备、服化道等成本加起来,有些视频制作成本能达到 6 位数。

所以,黑客的这一行为将会让这位百万 up 主准备的许多视频都暂时无法发布了,按照其日常的播放量估算,损失的流量可不是一星半点了。

党妹是怎么被勒索的?

正如B站 up主「-LKs-」的分析,up 主们拍摄一期视频不仅要耗费人力、物力,还有很重要的一点就是素材内容拍摄,一旦素材内容丢失,一切都要重头开始,所以对于党妹这类的当红博主来说,损失也是致命的。

所以,为了更好的保存素材,党妹所在的公司特地搭建了一个 NSA 系统来存储视频素材,相当于一个公有硬盘。

可万万没想到,投入使用的第一天就被攻击了。

据党妹介绍,黑客用一种名为 Buran 的勒索病毒攻击了他们搭建的 NAS 系统,这个病毒只攻击 Windows 系统,一旦被其攻击,它会自行运行硬盘里的文件对其加密,然后删除自身痕迹,并且这个病毒没有特定的钥匙就无法解开,攻击前也不会得到任何预警,所以,他们几乎在未察觉并且无力反击的情况下被攻击了。

目前的情况是:NAS 里的所有文件都被改成了奇怪的格式,无法打开使用,而且黑客还在文件夹里留下了一封.txt 格式的勒索信:

!!!你所有的文件都被加密了!!!


不要试图自己解密,恢复文件的唯一办法是购买一个独一无二的密匙,只有这个密匙才能解密这些文件。还留下了一串 ID,需要给两个特定的邮箱发邮件联系,并通过这串 ID 来表明身份,与黑客谈判才能解开文件。


最后,黑客还提醒,不要重命名这些文件,也不要用第三方软件解密,不仅会有可能让文件丢失,而且还因为成本增加,黑客会收更高的解密费用,甚至第三方可能也是个骗子,让被攻击者进入套娃式骗局。

收到勒索信的党妹,马上向网安报警,但得到的结果是无法立案,只能找数据安全公司解决。

所以,现在摆在他们面前的只有两条路,一是交钱赎回素材,二是找到可靠的数据安全公司破解,但据党妹介绍,目前,360 、火绒等安全公司还没有破解方式。

如果不给黑客赎金,怎么破?

黑盟也就此询问了 360 ,360 方面表示今年 1 月份,360 安全大脑曾发布针对Buran 勒索病毒的预警,并对 Buran 勒索病毒的活动全程进行了详细分析:

Buran勒索病毒启动后根据参数不同,执行不同的动作,初始时应是无参数状态启动。主要有以下三种情况:
(1)无参数时,主要完成行为有:转移病毒到指定目录并设置自启动,以参数-start重起新目录下病毒文件,删除当前执行目录下病毒文件并退出;如果以上行为失败,则继续执行参数-start时的行为;

(2)参数为-start时:生成用户 RSA 公钥和病毒自定义 MachineID,将其写入注册表;删除数据备份;搜索可加密磁盘,记录到注册表,为每个可加密磁盘启动一个勒索病毒进程,参数-agent< IndexInReg >;在桌面释放勒索信息文件,使用记事本打开勒索信息文件以提醒用户;

(3)参数-agent<IndexInReg>:搜索参数下标对应注册表中的磁盘,对可加密文件进行加密。病毒中的字符都通过RC4流对称加密算法进行加密,待解密数据前 32 字节为 Key, 其余字节为密文。

360 也给出了中招勒索病毒的补救措施:

1、如果刚刚发现中招,建议先切断网络,排查受影响情况(比如有多少台机器中招,都是什么问题)。


2、如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。


3、排查中招原因,(这一点可能需要寻找专业安全公司的协助)我们经常说,能中挖矿木马的机器,就很可能再被勒索病毒攻击。能被攻击一次,就可能被攻击第二第三次。意思是,平时就要注意安全防护,小的安全问题,可能就是大的安全问题的征兆。不彻底排查中招原因,也就无法彻底修复存在的安全问题,再次沦陷的可能性极高。


4、修补存在的安全问题,加强安全意识。


5、恢复数据和信息系统,尽力挽回损失。数据恢复的方式有很多种,根据不同情况有不同的方案,可以寻求专业公司或安全公司的帮助。

对于视频工作者来说,则不要过多暴露工作环境,因为攻击者可以利用一些不经意间泄露的信息,获取到很多有价值的攻击线索,比如一张桌面截图,可能就会泄露用户的一些使用习惯,安装了哪些软件,使用的什么操作系统,甚至有一些人桌面会存放一些个人隐私信息相关的文档数据,也会不经意的泄露。通过这些泄露的信息,黑客就可以较为轻松的完成“踩点”工作,比如掌握了用户常用软件情况,就可以针对性的寻找相应的软件漏洞,发起攻击。有些截图,可能带上了内网管理页面的地址,也会被留心的攻击者注意到,尝试去访问攻击等。

当然,最好的办法还是要对数据备份。

黑盟(公众号:黑盟)黑盟黑盟

参考来源:

[1]https://www.bilibili.com/video/BV1ii4y1t7i1

[2]https://mp.weixin.qq.com/s/6_KtRKTNzVi87EpL8vp6aQ

[3]https://www.zhihu.com/question/338679880

[4]http://www.it-times.com.cn/a/hulianwang/2020/0119/31431.html

[5]https://www.bilibili.com/video/BV1CJ411X7xy

[6]http://tech.ynet.com/2020/01/02/2303443t3264.html

黑盟原创文章,未经授权禁止转载。详情见转载须知。


  • 评论列表:
  •  离鸢七禾
     发布于 2022-05-30 00:49:36  回复该评论
  • 购买一个独一无二的密匙,只有这个密匙才能解密这些文件。还留下了一串 ID,需要给两个特定的邮箱发邮件联系,并通过这串 ID 来表明身份,与黑客谈判才能解开文件。 最后,黑客还提醒,不要重命名这些文件,
  •  夙世嘤咛
     发布于 2022-05-30 00:18:30  回复该评论
  • 数不同,执行不同的动作,初始时应是无参数状态启动。主要有以下三种情况:(1)无参数时,主要完成行为有:转移病毒到指定目录并设置自启动,以参数-start重起新目录下病毒文件,删除当前执行目录下病毒文件并退出;如果以上行为失败,则继续执行参数-start时的行为; (2)参数为-
  •  断渊木落
     发布于 2022-05-30 01:19:56  回复该评论
  • 3t3264.html 黑盟原创文章,未经授权禁止转载。详情见转载须知。

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.