“我被勒索了”——Buran病毒丨专栏

一、小白剧场

小白：大东哥哥，我被勒索了！

大东：你……你怎么啦？

小白：交出赎金，救回人质！

大东：无趣！

小白：嘿嘿，大东哥哥，你最近有没有刷到一个关于“机智的党妹”的视频？



“党妹”数据被勒索页面（图片来自网络）

大东：我看到了，最近挺火的，现在网络真的好可怕！以后你上网要注意一些，知道没有？

小白：OK，我会注意的，可是我看到最后，此次攻击与Buran勒索病毒有关，是怎么一回事？自己想着想着就有点头疼。

大东：是的，据其公司IT人员排查后发现，黑客用的是一种叫做Buran勒索病毒来进行攻击。

小白：看到这个病毒就来气！

二、话说事件

大东：小白同学，对于“党妹”事件你有什么感想？

小白：我只想多多学习网络安全知识，啥都不敢想。

大东：安全专家给我们的意见就是：提高安全意识，不要让病毒程序有执行的机会。



Buran病毒植入警告（图片来自网络）

小白：这个道理我也会呀！

大东：勒索病毒主要是利用漏洞传播，通过加密数据文件来勒索。它从2017年开始就大规模出现了，逐渐形成了一个产业。所谓产业就是说有一批人职业做这个，以此谋生。党妹遭遇的Buran病毒是比较初级的病毒，传播途径很传统，主要利用邮件附件传播，附件通常是一个Word或者Excel文件。

小白：我觉得勒索病毒还是值得我们对其加大关注。

大东：勒索病毒加密的文件基本上没办法破解，最主要是很多加密方法在密码学上是安全的，也就是密码很难破解，计算机需要运算非常长的时间，时间长到无法接受，不如放弃尝试。

小白：啊……那我到一边凉快去啦！

三、大话始末

大东：说到勒索病毒，真是令我头疼！

小白：大东哥哥怎么啦？你今天是不舒服吗？

大东：你……我想表达的意思是，勒索病毒令我脑袋疼！

小白：嘻嘻！这样呀，那勒索病毒还真是令人头疼呢！

大东：勒索病毒呢，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。



电脑植入勒索病毒（图片来自网络）

小白：有这么夸张的嘛？

大东：夸不夸张我不知道，我只知道这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

小白：那这个Buran勒索病毒呢？

大东：Buran勒索病毒首次出现在去年5月份，被认为是Jumper勒索病毒的变种样本，同时Vega Locker勒索病毒是该家族最初的起源，由于其丰厚的利润，使得迅速在全球范围内传播感染。

小白：我在一些网站上也经常看到这些，可想而知这个勒索病毒是一个非常火的名词。

大东：据某安全实验室监测和和评估，从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，且整体呈上升趋势。2017年12月13日，“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。

小白：Oh my god！这个情况在我的意料范围之外！

大东：2020年4月，勒索病毒“WannaRen”开始传播，目前普通的杀毒软件无法拦截。

小白：“WannaRen”又是什么？

大东：WannaRen，也是一种勒索病毒，加密Windows系统中几乎所有文件，后缀为WannaRen。2020年4月，勒索病毒作者“自首”，将解密密钥发给了一位安全实验室用户，并要求用户转发给该安全实验室，实验室收到密钥后紧急制作解密工具。



WannaRen病毒清理（图片来自网络）

小白：那结果怎么样？

大东：可喜的是2020年4月9日，安全实验室成功制作解密工具，“WannaRen”勒索病毒现已停止传播。

小白：为网络安全人员点赞！

大东：Buran病毒的操作简单，只要知道被攻击者的IP地址，就可以通过穷举法，破译密码，获取一系列的权限。

小白：这么厉害！在它攻击之前，我们会不会察觉到点什么？

大东：Buran病毒攻击之前是毫无预警的，所以大家更要提高警惕。

小白：好的，我要告诉朋友们，一定要多多学习关于网络安全的一些知识。

四、小白内心说

小白：面对病毒的勒索，我们可以用什么方法去预防它的攻击？

大东：面对大部分的病毒勒索，我们受害者能做的似乎只有两种选择：交出赎金和寻找解密公司帮助。

小白：“党妹”公司的IT小哥通过日志发现，这个是由病毒程序自动生成并留在那里的，查到的地址是在北京的一家图书馆，我们可以去举报他呀！

大东：小白同学还是把事情想得太简单了……你一会回去再看看那个报告，那里显示这个IP地址可能是假的。像这种黑客攻击，一般都不会受到处罚，除非你能证明他侵犯了你的商业秘密。

小白：我……我！

小白：可是交出赎金和寻找解密公司帮助这两种方法也只是在表面上解决了问题，在背后还是存在不确因素啊。

大东：是的，所以我们不如在事前就提高预防能力，从安全技术和安全管理两方面入手。



病毒防火墙（图片来自网络）

小白：目前看来也只能这样了，我们可以告诫人们不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击和尽量不要点击office宏运行提示，避免来自office组件的病毒感染。

大东：此外，升级到最新的防病毒等安全特征库和定期异地备份计算机中重要的数据和文件都可以基本预防勒索病毒的攻击。

小白：学到了！

参考文献：

1. 火炉安全：确诊了！网传WannaRen勒索病毒样本实为解密工具

https://www.huorong.cn/info/1586325928451.html

2. 百度百科：勒索病毒

https://baike.baidu.com/item/%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92/16623990?fr=aladdin

3. 百度百科：WannaRrn

https://baike.baidu.com/item/WannaRen/49749496

4. 搜狐：预防住了新冠病毒，却没逃过勒索病毒！

https://www.sohu.com/a/392196766_99926014

5. 新浪网：B站500万粉up主党妹被黑客勒索：交钱赎“人质”，她只能认倒霉吗？http://news.sina.com.cn/o/2020-04-29/doc-iircuyvi0530291.shtml