『iPhone』B站500万粉up主党妹被黑客勒索：交钱赎“人”！顶级安全专家：无解( 二 ) 安卓手机|苹果

被攻击之后， NAS里的所有文件都被改成了奇怪的格式，无法打开使用，而且黑客还在文件夹里留下了一封.txt格式的勒索信：
!!!ALL YOUR FILES ARE ENCRYPTED!!!!!!你所有的文件都被加密了!!!
信中说，这个NAS所有的文档、照片、数据等均已被加密，不要试图自己解密，恢复文件的唯一办法是购买一个独一无二的密匙，只有这个密匙才能解密这些文件。
如果被攻击者想要验证黑客说的是不是真的，那就要给黑客发邮件，免费解开一个文件来证明。当然，不能是重要文件，不然黑客怎么赚钱。
黑客给被攻击者留下了一串ID ，需要给两个特定的邮箱发邮件联系，并通过这串ID来表明身份，与黑客谈判才能解开文件。
而且黑客还提醒，不要重命名这些文件，也不要用第三方软件解密，不仅会有可能让文件丢失，而且还因为成本增加，黑客会收更高的解密费用，甚至第三方可能也是个骗子，让被攻击者进入套娃式骗局。
新加入党妹公司的IT小哥哥，查了查日志，发现这封勒索信是病毒程序自动生成的， IP地址是北京的一家图书馆，当然，很可能是黑客故意伪装，假装自己在图书馆，无法再详细的查到源头。
党妹也有些后悔， “之前经常收到大家提醒我说，录视频不要过多暴露租房周围的信息，这样很危险。 ”毕竟拥有强大个人IP的up主们每逢搬家必定会介绍自己的新房子，出门拍视频也经常会录制出门打车的过程作为转场，难免被人判断出住在一座城市的哪个区域。
发现被攻击之后，党妹迅速报警，民警也迅速受理，做了笔录，联系了网安部门进行速查评估。但是，视频的价值很难说清楚，而且走“恰饭模式”的up主，如果一个视频没有恰到饭也没有直接的经济损失，因此无法立案。
民警建议党妹去找数据恢复公司，但勒索信里说，最好不要去找第三方解密，因为可能被套娃诈骗或者解密不成黑客加价。
现在，党妹也很遗憾，安全意识欠缺，给了黑客可乘之机，希望其他up主和粉丝们注意信息安全。
毫无预警，攻击技术难度为0
经过党妹团队的一系列排查，大概率把目标锁定到了一个叫Buran的勒索病毒。
党妹团队经过调研，对Buran做出了如下解释：
只能攻击Windows系统。
它会运行自身，对硬盘里的其他文件进行加密，之后留下邮箱的TXT文档，再将自己删除。
Buran没有特定的密匙，无法解开， 360、火绒等公司也对其束手无策。
它在攻击之前也没有办法进行预警，最可怕的是此次攻击技术难度几乎为0：只需要知道IP地址，通过穷举法破译密码，获取一系列的权限。
看着党妹认真复述自己被“宰”的过程，也是怪心疼的……
而对于Buran病毒入侵的详细过程，我们也做了一下整理。
Buran勒索病毒启动后根据参数不同，执行不同的动作，初始时应是无参数状态启动。主要有以下三种情况：
无参数
转移病毒到指定目录并设置自启动，以参数-start重启新目录下病毒文件，删除当前执行目录下病毒文件并退出；
如果以上行为失败，则继续执行参数-start时的行为。
参数为-start
生成用户RSA公钥和病毒自定义MachineID ，将其写入注册表；
删除数据备份；
搜索可加密磁盘，记录到注册表，为每个可加密磁盘启动一个勒索病毒进程，参数-agent；
在桌面释放勒索信息文件，使用记事本打开勒索信息文件以提醒用户。
参数-agent
搜索参数下标对应注册表中的磁盘，对可加密文件进行加密；
病毒中的字符都通过RC4流对称加密算法进行加密，待解密数据前32字节为Key ，其余字节为密文。