从党妹中勒索病毒说起

进入2020年勒索病毒是越来越猖狂，企业，医院，政府，个人，大面积的中招。疫情期间要防新冠病毒，还要防勒索病毒，近日，up主“机智的党妹”发视频称自己被勒索病毒攻击了。

党妹正在制作的数百个GB的视频素材文件，全都被病毒加密绑架，黑客留下一封勒索信：想拿回这些素材？乖乖交赎金吧。

 

B站精美的视频生产成本高、生产时间长，被黑客勒索之后，党妹的许多视频都暂时无法发布了，按照党妹近期每个视频300万播放量来预计，大概是几百万乃至千万的流量损失。如今党妹已经报警了但是警察说不能立案，也是没有办法的事情毕竟没有现金的损失。

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。大家看到党妹中病毒之后有很多疑问，我们精选出来几个常见问题。

1、黑客是如何攻击的？

根据视频中有限的内容来看，我们认为有两种可能：

（1）、党妹内网中有Windows终端感染勒索病毒，由于她的NAS是以网络驱动器映射（文件共享）的方式进行访问的，所以被同时加密了网络驱动器内的文件（也就是NAS内的文件）。

（2）、党妹的NAS服务器开启了暴露在外网的功能，黑客通过外网攻破并勒索。

从已有信息来看第一种可能性较大，当然具体情况还需要看现场进行分析。

2、能否解密？安全厂商束手无策？

很遗憾，党妹这次遇到的Buran勒索病毒目前无法解密。从本质上说，安全软件是在勒索发生前启动防御的工具，而并非被勒索后解密的工具。很多人认为技术大佬可以解密勒索病毒，但其实这与技术能力无关。只要是使用了非对称加密算法的勒索病毒，在没有私钥的情况下都是无法解密的。不幸的是，目前已知的绝大多数勒索病毒都采用了非对称加密算法。（目前所有可以解密的非对称加密算法的勒索病毒，都是因为得到了私钥）

PS.关于党妹的安全软件为什么没有对此次攻击进行拦截，还需要工程师查看现场才能确认。

3、解密公司诈骗？

关于这一点，我们认为有这个可能。因为刚才说过了，在没有私钥的情况下，该病毒是无法解密的。所以现在市面上大有那种承诺解密，但是交完钱就“跑路”的公司；还有一些解密公司就是“中间商赚差价”，联系黑客购买解密工具。

4、针对勒索病毒的安全建议

我们看到留言中有很多朋友提出的安全建议，想必党妹也有点晕了。其实，通用的安全建议有很多，但是我们认为就目前来说，党妹的工作室需要一个专业的、有针对性的安全指导，以防再次发生类似问题。

再跟据，McAfee，360和腾讯之前对Buran的病毒样本分析，先给结论（基于病毒没变异的情况）：这勒索病毒并不是针对党妹的，它是无差别攻击的。我们认为可能性非常小。勒索病毒多为广撒网式传播，主要原因还是因为党妹的服务器/终端存在安全隐患（比如是否服务器连接到外网），才会被攻击成功。它就是一个挺典型的ransomware，并且又是俄罗斯人造的，会刻意避开俄罗斯几个国家不攻击。 这病毒并不会仅通过网络就主动执行。从各个样本分析看，它自己主动的第一步是用CMD.exe去伪造一个lsass.exe到启动项。其实病毒能到这一步已经代表它无所不能了，它可以删了你的文件，甚至直接删了你的系统文件。之所以选择加密是这样比较快而且有利可图。在此之前一定得有用户去执行恶意宏代码（腾讯样本里是邮件带的含有恶意宏的word附件。）所以基本还是人祸。跟你是Windows还是Linux没什么关系。

360对病毒样本分析，

https://bbs.360.cn/forum.php?mod=viewthread&tid=15826036&page=1&extra=

macfee公司对病毒样本分析报告，

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker

腾讯团队对病毒的分析，

https://s.tencent.com/research/report/817.html

勒索病毒已经形成了一个江湖，流传着各种故事，墨西哥贩毒大哥转行做勒索病毒，有干1年赚20个亿退休的黑客，也有金盒洗手的黑客组织，老牌勒索软件Shade（Troldesh）宣布金盒洗手，并表示为了“答谢新老客户”，在Github上“开源”了全部超过75万个解密密钥，所有曾经被Shade加密过数据的受害者都可以用这些密钥来解密其文件。
在GitHub资料库的短消息中，Shade团队解释了他们“放下屠刀”的原因：https://github.com/shade-team/keys
“我们是一个团队，开发了一个木马加密程序，通常被称为Shade、Troldesh或Encoder.858。实际上，我们已在2019年底停止分发。现在，我们决定为此事画上句号，并发布我们拥有的所有解密密钥（总共超过750,000个）。我们还将发布解密软件，我们还希望，有了密钥，防病毒公司将能开发并发布更加用户友好的解密工具。与我们的活动有关的所有其他数据（包括特洛伊木马的源代码）均被不可撤销地销毁。我们向所有特洛伊木马受害者致歉，并希望我们发布的密钥能够帮助他们恢复数据。”

这些密钥可用于所有版本的Shade勒索病毒，早些年中过Shade勒索病毒的只要有备份，可以找出来，现在可以免费解密了。

在华盟君看来，现在勒索病毒种类越来越多，有可能Shade勒索病毒已经勒索不到钱财了，选择金盒洗手，现在为了能勒索到钱财，勒索病毒团队想了很多办法，最为可怕的一招就是，如果不给交勒索赎金，将公开受害者的数据，并且他们已经怎么干了。

最近几天Zaha Hadid公司也在被黑客威胁，要公开他们公司的机密数据。

其中包括工资记录，银行文件，保存员工详细信息，人寿保险详细信息，员工合同，电子邮件收件箱转储等的文件.其他文件包括Zaha-Hadid.com网站的SSL证书和公司Active Directory服务器的用户帐户凭据.

2020年，今年勒索病毒更为疯狂，大到政府，企业，小到个人，都需要注意加强防范意识，在此祝各位数据更安全。

最后给些建议，合适个人也适用于党妹安全建议：

1、如NAS内有自身的安全性设置，建议配置启用，如IP白名单访问等。并在企业内对常见的高危端口进行限制。

2、部署安全软件，定期对企业内病毒问题进行处理。目前常见的安全软件也均有对Windows补丁安装修复的功能，建议定期更新Windows的高危漏洞补丁。

3、对企业内进行内外网隔离，避免可连外网的终端被攻击被作为跳板。

4、企业内终端密码要有一定强度，并避免使用统一密码，定期更换。

5、对重要的文件与数据，进行定期的非本地备份。

文章参考来源：

https://www.zhihu.com/question/391024163/answer/1186576587

https://www.zdnet.com/article/hackers-threaten-to-leak-data-from-high-end-architecture-firm-zaha-hadid/