B 站百万粉丝 UP 主党妹惨遭黑客攻击 电脑只剩下一篇高价勒索信

技术编辑：宗恩丨发自 SiFou NewOffice
SegmentFault 思否报道丨公众号：SegmentFault

---

4 月 27 日，在 B 站拥有超 500 万粉丝的 UP 主“机智的党妹”发布视频称，本身遭到了黑客的病毒攻击和“勒索”。

前期制做好的视频均被乱码处理，只留下一封勒索信。

党妹视频回应

此前团队的素材文件都放在本地电脑硬盘中，但后期因为视频剪辑及渲染素材过大，团队花费了十几万元在内部搭建了一个 NAS 系统，至关于公司团队内部的公共硬盘。

但没想到，在 NAS 盘搭建好，并测试一段时间后，投入使用的第一天就遭遇到了勒索病毒。团队内部的 IT 人员通过调查，发现黑客使用了一种叫作 Buran 的勒索病毒。

通过后台日志查证，是由病毒程序自动生成并留在那里的，经过日志咱们查到是在北京的一家图书馆，但这个 IP 地址颇有多是伪造的，咱们也没有办法追查到源头。

党妹还称文件被攻击以后，NAS 盘里面文件的格式所有被改为了奇怪的格式，没有办法再打开。黑客还留下了一封勒索信，信上称文件已被加密。惟一的恢复办法是购买独一无二的密匙。同时，黑客在信中留下了一串 ID，让经过两个特定邮箱跟他们联系。

她咨询过 360、火绒等杀毒公司，但他们到如今都对这个病毒一筹莫展。这个病毒在攻击以前，她们公司的杀毒软件也没有办法预警，最可怕的是这次攻击的技术难度几乎为 0，只须要知道咱们的 IP 地址就能够经过穷举法破译她们的密码，得到一系列的权限。

Buran勒索病毒

Buran 勒索病毒 2019 年 8 月首次在国内出现，调查发现该勒索病毒主要经过爆破远程桌面，拿到密码后进行手动投毒。同时在受害者机器上发现大量工具。从工具看该勒索病毒传播在还在不断攻击内网其余机器以及想经过抓取密码的方式获取更多机器的密码。

传播方式主要经过传播 IQY（Microsoft Excel Web Query）附件，诱导用户打开附件，该附件经过请求网上数据执行 powershell，用来进行病毒母体的下载。

该家族以前使用”Rig Exploit Kit”工具包(使用CVE-2018-8174-微软IE浏览器远程命令执行漏洞)进行攻击，能够看到勒索病毒在使用多种技术以及方式进行攻击，让受害者防不胜防。

Buran 勒索病毒实为 VegaLocker 勒索病毒的变种，二者在加密后都会修改文件后缀为生成的用户 ID，勒索信息文件结构也十分类似。