B 站百萬粉絲 UP 主黨妹慘遭黑客攻擊 電腦只剩下一篇高價勒索信

技術編輯：宗恩丨發自 SiFou NewOffice
SegmentFault 思否報道丨公衆號：SegmentFault

---

4 月 27 日，在 B 站擁有超 500 萬粉絲的 UP 主「機智的黨妹」發佈視頻稱，本身遭到了黑客的病毒攻擊和「勒索」。

前期製做好的視頻均被亂碼處理，只留下一封勒索信。

黨妹視頻迴應

此前團隊的素材文件都放在本地電腦硬盤中，但後期因爲視頻剪輯及渲染素材過大，團隊花費了十幾萬元在內部搭建了一個 NAS 系統，至關於公司團隊內部的公共硬盤。

但沒想到，在 NAS 盤搭建好，並測試一段時間後，投入使用的第一天就遭遇到了勒索病毒。團隊內部的 IT 人員通過調查，發現黑客使用了一種叫作 Buran 的勒索病毒。

通過後臺日志查證，是由病毒程序自動生成並留在那裏的，經過日誌咱們查到是在北京的一家圖書館，但這個 IP 地址頗有多是僞造的，咱們也沒有辦法追查到源頭。

黨妹還稱文件被攻擊以後，NAS 盤裏面文件的格式所有被改爲了奇怪的格式，沒有辦法再打開。黑客還留下了一封勒索信，信上稱文件已被加密。惟一的恢復辦法是購買獨一無二的密匙。同時，黑客在信中留下了一串 ID，讓經過兩個特定郵箱跟他們聯繫。

她諮詢過 360、火絨等殺毒公司，但他們到如今都對這個病毒一籌莫展。這個病毒在攻擊以前，她們公司的殺毒軟件也沒有辦法預警，最可怕的是這次攻擊的技術難度幾乎爲 0，只須要知道咱們的 IP 地址就能夠經過窮舉法破譯她們的密碼，得到一系列的權限。

Buran勒索病毒

Buran 勒索病毒 2019 年 8 月首次在國內出現，調查發現該勒索病毒主要經過爆破遠程桌面，拿到密碼後進行手動投毒。同時在受害者機器上發現大量工具。從工具看該勒索病毒傳播在還在不斷攻擊內網其餘機器以及想經過抓取密碼的方式獲取更多機器的密碼。

傳播方式主要經過傳播 IQY（Microsoft Excel Web Query）附件，誘導用戶打開附件，該附件經過請求網上數據執行 powershell，用來進行病毒母體的下載。

該家族以前使用」Rig Exploit Kit」工具包(使用CVE-2018-8174-微軟IE瀏覽器遠程命令執行漏洞)進行攻擊，能夠看到勒索病毒在使用多種技術以及方式進行攻擊，讓受害者防不勝防。

Buran 勒索病毒實爲 VegaLocker 勒索病毒的變種，二者在加密後都會修改文件後綴爲生成的用戶 ID，勒索信息文件結構也十分類似。