B 站百大 up 主党妹被黑客勒索,安全公司无方破解,只能拦截,锤程序员自建nas
变身气质美人!世界级优雅的Lolita妆发拍照一体w
4 月27 日傍晚,B站知名 up主发视频称自己被黑客勒索了,她正在制作的数百个 GB 的视频素材文件,全都被病毒加密绑架,黑客只留下一封勒索信称:要想拿回素材,乖乖交钱吧。
这可急坏了宅男粉,甚至喊话黑客:“敢动我老婆,等着被我等暗杀吧”!
这可急坏了宅男粉,甚至喊话黑客:“敢动我老婆,等着被我等暗杀吧”!
这锅要程序员自己承担,自建的nas不安全,现在人工智能怎么多,给nas安装一个物理电源多安全,看看我党妹家的赤裸裸的裸机,一次安装终身不维护
根据统计来看
北京拥有着中国最多的程序员,占比为 24.1%。其次广东占 13.7%,上海占 10.8%,浙江占 8.6%,四川占 5.8%,江苏占 5.0%,福建占 4.0%。广东的程序员主要集中在广州和深圳。浙江的程序员主要集中在杭州。四川的程序员主要集中在成都。江苏的程序员主要集中在南京,苏州。福建的程序员主要集中在厦门。此外,陕西拥有 2.9% 的程序员,主要集中在西安。上海,北京的黑客们无暇顾及,莆田系游走国外无比刺激,疫情过后各种漏洞bug,被黑产利用。
话虽如此,但事情远没那么简单。
党妹是何许人?
那么,万千宅男粉为她声讨的党妹究竟是谁?
这还要从 B 站说起。八年前, B 站还是“一个 ACG 相关的弹幕视频分享网站”,用户们自嘲这是一个“小破站”;后来变成了“国内首屈一指的‘年轻一代潮流文化社区’” ;2019 年 5 月,B 站月活跃用户首次破亿。它的受欢迎程度可见一斑。
而 UP主,则是指在视频网站、论坛等上传视频音频文件的人。根据发音,也被网友亲切地称为“阿婆主”。最初的 UP 主多为搬运工,后来逐步转变为内容生产者,散布在无奇不有的各大兴趣领域里。
官方数据显示,目前 B 站月活跃 UP主有 73 万,每个月投稿原创视频数量有 208 万。
这一年来她的进步真的是肉眼可见
我觉得她是真的有在把up主这个当做职业一样用心的去做 去完善自己她的化妆技术以前一直就饱受诟病 她就去报了很贵很贵的化妆班去提升自己的技术
为了线下活动她去学了舞蹈 礼仪 发型 她发的视频里也真的有看到她的舞蹈这一年来的进步 从可爱的宅舞到帅气的舞蹈 做的发型越来越精致 妆容也变得多样化了起来 她也从一个小软妹变成了现在的小帅哥,恰饭视频这一点我觉得没什么所谓 因为她的广告视频也很好看很有意思啊 再说人家本来就是靠这个赚钱的 党妹好像也没有出过什么爱用物分享这样的纯软广视频 她也没有接什么三无微商的广告 而且她自己有在控制数量 三个视频里一个有广告的,她这个人对待粉丝是真的很真诚 我本来只对她有点喜欢的 但我现在真的好喜欢好喜欢她,看着她这样变得越来越好 我就很开心啊!!!对很多 UP 主来说,更新视频是起于兴趣,源于热爱。但“一不小心”走红以后,事情就不一样了。
党妹就是其中一个走红的 up 主,专注美妆,人称“ B站换头怪”,凭借其精湛的化妆技术吸粉无数。
而据 B站 up主「-LKs-」的分析,党妹不少视频的复杂程度接近小成本商业片,团队差旅、场地、设备、服化道等成本加起来,有些视频制作成本能达到 6 位数。
所以,黑客的这一行为将会让这位百万 up 主准备的许多视频都暂时无法发布了,按照其日常的播放量估算,损失的流量可不是一星半点了。
党妹是怎么被勒索的?
正如B站 up主「-LKs-」的分析,up 主们拍摄一期视频不仅要耗费人力、物力,还有很重要的一点就是素材内容拍摄,一旦素材内容丢失,一切都要重头开始,所以对于党妹这类的当红博主来说,损失也是致命的。
所以,为了更好的保存素材,党妹所在的公司特地搭建了一个 NSA 系统来存储视频素材,相当于一个公有硬盘。
可万万没想到,投入使用的第一天就被攻击了。
据党妹介绍,黑客用一种名为 Buran 的勒索病毒攻击了他们搭建的 NAS 系统,这个病毒只攻击 Windows 系统,一旦被其攻击,它会自行运行硬盘里的文件对其加密,然后删除自身痕迹,并且这个病毒没有特定的钥匙就无法解开,攻击前也不会得到任何预警,所以,他们几乎在未察觉并且无力反击的情况下被攻击了。
目前的情况是:NAS 里的所有文件都被改成了奇怪的格式,无法打开使用,而且黑客还在文件夹里留下了一封.txt 格式的勒索信:
!!!你所有的文件都被加密了!!!
不要试图自己解密,恢复文件的唯一办法是购买一个独一无二的密匙,只有这个密匙才能解密这些文件。还留下了一串 ID,需要给两个特定的邮箱发邮件联系,并通过这串 ID 来表明身份,与黑客谈判才能解开文件。
最后,黑客还提醒,不要重命名这些文件,也不要用第三方软件解密,不仅会有可能让文件丢失,而且还因为成本增加,黑客会收更高的解密费用,甚至第三方可能也是个骗子,让被攻击者进入套娃式骗局。
收到勒索信的党妹,马上向网安报警,但得到的结果是无法立案,只能找数据安全公司解决。
所以,现在摆在他们面前的只有两条路,一是交钱赎回素材,二是找到可靠的数据安全公司破解,但据党妹介绍,目前,360 、火绒等安全公司还没有破解方式。
如果不给黑客赎金,怎么破?
雷锋网也就此询问了 360 ,360 方面表示今年 1 月份,360 安全大脑曾发布针对Buran 勒索病毒的预警,并对 Buran 勒索病毒的活动全程进行了详细分析:
Buran勒索病毒启动后根据参数不同,执行不同的动作,初始时应是无参数状态启动。主要有以下三种情况:
(1)无参数时,主要完成行为有:转移病毒到指定目录并设置自启动,以参数-start重起新目录下病毒文件,删除当前执行目录下病毒文件并退出;如果以上行为失败,则继续执行参数-start时的行为;
(2)参数为-start时:生成用户 RSA 公钥和病毒自定义 MachineID,将其写入注册表;删除数据备份;搜索可加密磁盘,记录到注册表,为每个可加密磁盘启动一个勒索病毒进程,参数-agent< IndexInReg >;在桌面释放勒索信息文件,使用记事本打开勒索信息文件以提醒用户;
(3)参数-agent:搜索参数下标对应注册表中的磁盘,对可加密文件进行加密。病毒中的字符都通过RC4流对称加密算法进行加密,待解密数据前 32 字节为 Key, 其余字节为密文。
技术程序员 也给出了中招勒索病毒的补救措施:
1、如果刚刚发现中招,建议先切断网络,排查受影响情况(比如有多少台机器中招,都是什么问题)。
2、如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。
3、排查中招原因,(这一点可能需要寻找专业安全公司的协助)我们经常说,能中挖矿木马的机器,就很可能再被勒索病毒攻击。能被攻击一次,就可能被攻击第二第三次。意思是,平时就要注意安全防护,小的安全问题,可能就是大的安全问题的征兆。不彻底排查中招原因,也就无法彻底修复存在的安全问题,再次沦陷的可能性极高。
4、修补存在的安全问题,加强安全意识。
5、恢复数据和信息系统,尽力挽回损失。数据恢复的方式有很多种,根据不同情况有不同的方案,可以寻求专业公司或安全公司的帮助。
一、概述
腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。
根据御见威胁情报中心的监测数据,该勒索病毒的感染主要在境外,有个别案例已在国内出现,安全专家提醒中国用户小心处理来历不明的邮件,不打开陌生人发送的用途不明的Office文档,不要启用宏功能。
二、详细分析
1、word附件
用户打开word文档,恶意宏代码会从hxxp://54.39.233.131/word1.tmp处下载勒索病毒到C:/Windows/Temp/sdfsd2f.rry运行,word文档内容、宏代码如下图:
2、勒索病毒样本(sdfsd2f.rry)
使用WinInet函数访问geoiptool.com、iplogger.com地址获取受害机的IP地址信息;
调用cmd程序复制样本到C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe,并置注册表run键开机启动;
使用ShellExecuteW( )函数,参数"C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe" -start启动样本;
调用cmd程序删除sdfsd2f.rry样本;
3、lsass.exe进程
调用cmd程序禁用系统自动修复功能、删除系统备份、删除RDP连接历史记录、清空Application、Security、System日志,关闭日志服务开机启动;
注册表保存公钥key、受害机id;
再次创建lsass.exe进程,参数C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe -agent 1,遍历磁盘文件,加密用户数据;
为每一个文件生成256位key,使用AES-256-CBC加密文件;
生成密钥对RSA-512,公钥用来加密256位key,内容存放到文件中;
私钥被注册表中的RSA公钥加密存放文件中;
以下后缀名文件会被跳过;
文件开头写入“BURAN”标志,防止文件被重复加密;
文件内容被加密后,使用代表受害机ID的后缀重命名文件;
生成勒索信息
弹出勒索信息;
调用cmd程序删除lsass.exe样本;
国外论坛某用户花了3000$才恢复了所有数据;
上面这些大多不行,源头遏制,物理电源,加多层加密协议才可以让这些视频博主愉快的创作,既然能够自建nas,必然收入不菲,谢安然是非常有名的一位Lolita文化爱好者,在网络中也很多她的精美照片。自从很多的网友得知她参加了《创3》这档节目之后,大家也都十分支持,虽然这档节目还没有正式播出,不过已经有很多人打算给她加油送她出道。谢安然《创3》加油团有多强?不仅有洛丽塔协会会长,公司老板也出面,和党妹一家公司。
之前看到有帖子说谢安然签的是b站,但是姓名牌上写着声曜文化
好奇公司背景就去微博搜了一下,结果搜到了这条微博
?所以b站那个机智的党妹和谢安然签的是同一家公司,晚香玉(也是b站的up主)是他们的经纪人?这个杨小波是公司的老板
对于视频工作者来说,则不要过多暴露工作环境,因为攻击者可以利用一些不经意间泄露的信息,获取到很多有价值的攻击线索,比如一张桌面截图,可能就会泄露用户的一些使用习惯,安装了哪些软件,使用的什么操作系统,甚至有一些人桌面会存放一些个人隐私信息相关的文档数据,也会不经意的泄露。通过这些泄露的信息,黑客就可以较为轻松的完成“踩点”工作,比如掌握了用户常用软件情况,就可以针对性的寻找相应的软件漏洞,发起攻击。有些截图,可能带上了内网管理页面的地址,也会被留心的攻击者注意到,尝试去访问攻击等。
当然,最好的办法还是要对数据备份。nas raid模式
RAID是独立磁盘冗余阵列的英文首字母缩写词。是跟NAS息息相关的阵列模式。如果存储系统启用 RAID,您可以在系统中连接两个或更多硬盘,这样它们作为一个超大高速硬盘运行,或者使用系统中的一个硬盘自动、即时地复制(或镜像)数据,进行实时备份。如果其中一块硬盘出现故障,您只需更换这块硬盘,您的内容会自动重新进入新的硬盘。
由于 NAS 系统可以通过您的所有设备在本地或远程存储、管理和访问内容,因此 NAS 是您数据的安全个人云,也是有以下需求的用户的最佳解决方案:
1. 经济的大存储空间,My Cloud无月度费用
2. 便于设置和配置,使用标准以太网连接
3. 可远程访问和流式传输所有内容
4. 跨多个设备共享文件
5. 自动备份网络中的多台计算机
6. 多插槽 NAS 设备提供硬盘 RAID 冗余,以保护您的数据
7. 设置用户许可、文件夹权限和严格的文件访问权限