B站百大UP主党妹被黑客勒索！！！

4月27日，哔哩哔哩视频网站的UP主“机智的党妹”发布消息称，自己被黑客勒索了。
她的视频表示：“事发突然，我被勒索了，你也有可能继续被诈骗！这种诈骗的页面是由病毒程序自动生成并留在那里的。”根据她的介绍是因为自己的视频素材被黑客盗取，对方要求支付“赎金”才愿意将素材还回来。

“机智的党妹”是B站的一名UP主，她的粉丝高达500多万，也算是一个大咖网红了，近日这位党妹却被黑客勒索了，机智的党妹在发布的视频中表示“事发突然，我被勒索了，党妹视频的数据被黑客攻击入侵所有视频素材都被“挟持”了，黑客要求党妹“给钱交素材”然后留下了勒索的信。如今党妹已经报警了但是警察说不能立案，也是没有办法的事情毕竟没有现金的损失，党妹也是无奈。

被加密的文件

勒索提示信息

他们团队迅速报警，刑侦队和网安经过鉴定后，因为没有造成实际的经济损失，所以发现无法立案，而又无法查到对方的IP地址。
所以面临的只有两个选择：1.给黑客钱赎回这些素材；2.找解密公司。
但是给黑客交赎金这方式也并不可取，因为人的欲望是无法被满足的，有了第一次就有第二次。而找解密公司进行解密，勒索病毒大部分用 RSA2048 进行加密，解密公司并没有这个算力。
视频中提到了一个名为“Buran”的勒索病毒。Burn勒索病毒在2019年8月首次在国内出现，被发现该勒索病毒主要通过爆破远程桌面，拿到密码后进行手动投毒。同时在受害者机器上发现大量工具。从工具看该勒索病毒传播还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。不过还是要告诫大家要保护好自己的重要文件，Wannacry之后就有很多勒索病毒出世，不久前的Wannaren也是勒索病毒，只是后来也不了了之。

那么，什么是勒索病毒呢？

---

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

据“火绒威胁情报系统”监测和和评估：
从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，且整体呈上升趋势。
2017年12月13日，“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。
2020年4月，勒索病毒“WannaRen”开始传播，大部分杀毒软件无法拦截。

勒索病毒的危害

---

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。

该类型病毒的目标性强，勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥和私钥。然后，将加密公钥私钥写入到注册表中，遍历本地所 有磁盘中的Office 文档、图片等文件，对这些文件进行格式篡改和加密;加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。
该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。

据火绒监测，勒索病毒主要通过三种途径传播：漏洞、邮件和广告推广。
通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞，而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统，因此也成为病毒攻击的重灾区，病毒可以通过漏洞在局域网中无限传播。相反，Win10系统因为强制更新，几乎不受漏洞攻击的影响。

通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少，但对于有收发邮件、网页浏览需求的企业而言，依旧会受到威胁。
此外，对于某些特别依赖U盘、记录仪办公的局域网机构用户来说，外设则成为勒索病毒攻击的特殊途径。

主要攻击特征

---

1.针对企业用户定向攻击
勒索病毒在2016年爆发时，主要通过钓鱼邮件、挂马等攻击方式撒网式传播，导致普通用户深受其害。但随后黑客发现普通用户的数据价值相对更低，并不会缴纳高额赎金进行数据恢复，相反企业用户的资料数据一旦丢失，将会极大地影响公司业务的正常运转，因此企业用户往往会缴纳赎金来挽回数据。因此现在黑客基本针对企业用户定向攻击，以勒索更多的赎金。

2.以RDP爆破为主
通过腾讯安全御见威胁情报中心的数据统计，目前勒索攻击主要以RDP爆破为主（包括企业内网渗透），典型家族有GlobeImposter和Crysis，也有其他家族的勒索病毒陆续加入端口爆破攻击方式。RDP爆破成功后，黑客可以远程登录终端进行操作，这样即使终端上有安全软件的防护也会被黑客退出，攻击成功率高，因此备受黑客喜爱。

3.更多使用漏洞攻击
以往勒索病毒更多的使用钓鱼邮件、水坑攻击等方式进行传播，但随着用户的安全教育普及，社工型的攻击成功率越来越低。因此勒索病毒现在更多的使用漏洞进行攻击，漏洞攻击往往用户没有感知、并且成功率高。部分企业没有及时修复终端的高危漏洞，这就给了黑客可趁之机。

4.入侵企业内网后横向渗透
大多企业通过内外网隔离，来提高黑客的攻击门槛，但是一旦前置机有可利用漏洞，黑客依然可以入侵到企业内网。入侵成功之后，黑客往往会利用端口爆破、永恒之蓝漏洞等进行横向传播，来达到加密更多的文件、勒索更高额赎金的目的。

勒索病毒应急处置手册

---

事前防护
1. 定期进行安全培训，日常安全管理可参考“三不三要”（三不：不上钩、不打开、不点击；三要：要备份、要确认、要更新）思路。
2. 由管理员批量杀毒和安装补丁，后续定期更新各类系统高危补丁；
3. 定期备份数据，重要数据多重备份。

事中应急
1. 建议联系专业安全厂商处理，同时在专业安全人员到达之前，可采取正确的自救措施，以便控制影响范围。
2. 物理，网络隔离染毒机器；
3. 对于内网其他未中毒电脑，排查系统安全隐患：
a) 系统和软件是否存在漏洞
b) 是否开启了共享及风险服务或端口
c) 检查机器ipc空连接及默认共享是否开启
d) 检查是否使用了统一登录密码或者弱密码

事后处理
在无法直接获得安全专业人员支持的情况下，可考虑如下措施：
1. 通过管家勒索病毒搜索引擎搜索，获取病毒相关信息。搜索引擎地址（https://guanjia.qq.com/pr/ls/#navi_0）
2. 若支持解密，可直接点击下载工具对文件进行解密
3. 中毒前若已经安装腾讯电脑管家或者御点终端安全管理系统，并开启了文档守护者功能，可通过该系统进行文件恢复

参考内容：
https://blog.csdn.net/IDCzhan/article/details/104943420
https://bbs.360.cn/thread-15778879-1-1.html
http://www.hetianlab.com/

附：近年来勒索病毒相关事件

1. 2017年5月12日，一种名为“Wannacry（想哭）”的勒索病毒袭击全球150多个国家和地区，影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。

2. 2017年6月27日，欧洲、北美地区多个国家遭到“NotPetya”病毒攻击。乌克兰受害严重，其政府部门、国有企业相继“中招”。

3. 2017年10月24日，俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招，德国、土耳其等国随后也发现此病毒。

4. 2018年2月，多家互联网安全企业截获了Mind Lost勒索病毒。

5. 2018年2月，中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现，此次出现的勒索病毒正是GlobeImposter家族的变种，该勒索病毒将加密后的文件重命名为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名，并通过邮件来告知受害者付款方式，使其获利更加容易方便。

6. 2018年3月1日，有杀毒软件厂商表示，他们监测到了“麒麟2.1”的勒索病毒。

7. 2018年3月，国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏，勒索用户付费解锁，对用户财产和手机安全均造成严重威胁。

8. 从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，且整体呈上升趋势。

9. 2018年12月1日，火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内，该勒索病毒至少感染了10万台电脑，通过加密受害者文件的手段，已达到勒索赎金的目的，而受害者必需通过微信扫一扫支付110元赎金才能解密。

10. 2018年12月7日，平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破，根据上级公安机关“净网安网2018”专项行动有关部署，东莞网警在省公安厅网警总队的统筹指挥，24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案，抓获病毒研发制作者罗某某（男，22岁，广东茂名人），缴获木马程序和作案工具一批。

11. 2019年3月，瑞星安全专家发现通过发送恐吓邮件，诱使用户下载附件，导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。

12. 2020年4月，网络上出现了一种名为“WannaRen”的新型勒索病毒，与此前的“WannaCry”的行为类似，加密Windows系统中几乎所有文件，后缀为.WannaRen，赎金为0.05个比特币。