技术编辑:宗恩丨发自 SiFou NewOffice
SegmentFault 思否报道丨公众号:SegmentFault
4 月 27 日,在 B 站拥有超 500 万粉丝的 UP 主“机智的党妹”发布视频称,自己遭到了黑客的病毒攻击和“勒索”。
前期制作好的视频均被乱码处理,只留下一封勒索信。
党妹视频回应
此前团队的素材文件都放在本地电脑硬盘中,但后期由于视频剪辑及渲染素材过大,团队花费了十几万元在内部搭建了一个 NAS 系统,相当于公司团队内部的公共硬盘。
但没想到,在 NAS 盘搭建好,并测试一段时间后,投入使用的第一天就遭遇到了勒索病毒。团队内部的 IT 人员经过调查,发现黑客使用了一种叫做 Buran 的勒索病毒。
经过后台日志查证,是由病毒程序自动生成并留在那里的,通过日志我们查到是在北京的一家图书馆,但这个 IP 地址很有可能是伪造的,我们也没有办法追查到源头。
党妹还称文件被攻击之后,NAS 盘里面文件的格式全部被改成了奇怪的格式,没有办法再打开。黑客还留下了一封勒索信,信上称文件已被加密。唯一的恢复办法是购买独一无二的密匙。同时,黑客在信中留下了一串 ID,让通过两个特定邮箱跟他们联系。
她咨询过 360、火绒等杀毒公司,但他们到现在都对这个病毒束手无策。这个病毒在攻击之前,她们公司的杀毒软件也没有办法预警,最可怕的是此次攻击的技术难度几乎为 0,只需要知道我们的 IP 地址就可以通过穷举法破译她们的密码,获得一系列的权限。
Buran勒索病毒
Buran 勒索病毒 2019 年 8 月首次在国内出现,调查发现该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动投毒。同时在受害者机器上发现大量工具。从工具看该勒索病毒传播在还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。
传播方式主要通过传播 IQY(Microsoft Excel Web Query)附件,诱导用户打开附件,该附件通过请求网上数据执行 powershell,用来进行病毒母体的下载。
该家族之前使用”Rig Exploit Kit”工具包(使用CVE-2018-8174-微软IE浏览器远程命令执行漏洞)进行攻击,可以看到勒索病毒在使用多种技术以及方式进行攻击,让受害者防不胜防。
Buran 勒索病毒实为 VegaLocker 勒索病毒的变种,两者在加密后都会修改文件后缀为生成的用户 ID,勒索信息文件结构也十分相似。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。