詳解：易到用車如何被黑客「開」走了車

「無車可用，客服失聯，APP也無法定位......易到用車，你是人間蒸發了嗎？賠我的充值款啊啊啊！」

26號一大早，黑貓投訴平台累計處理了類似投訴信息共計164008次。投訴原因很簡單：易到用車沒車可用。

用戶們要求易到用車退還3122元的充值款，並要其對於這種欺詐行為給出個說法。

沒過多久，說法就如約而至了：

簡單概括就是「同志們，不是你們被騙嘍，是我被綁架嘍！」

值得一提的是，十天前，易到用車剛剛獲得數千萬元戰略投資，投資方為大股東韜蘊資本。

對此，網友在微博下的留言可謂是千奇百怪——伺服器啥時候恢復呀、恢復之後數據還能不能找回來呀、核心數據會不會被挪為他用呀、損失大不大呀，等等。

面對這些問題，宅宅找到火絨創始人馬剛和騰訊安全雲鼎實驗室雲安全研究員張祖優聊了聊。

廣撒網特徵，但疑點重重

易到有車事件中，黑客不光加密了核心數據，使其面臨巨額勒索，還通過攻擊手段使得伺服器宕機，才有了上面的大批用戶投訴。

張祖優稱，一般來說，針對伺服器的勒索病毒都是通過廣撒網的方式，也就是沒有固定目標，一般就是掃描某個網段或者IP列表進行批量化的攻擊，利用某個通用漏洞進行入侵和植入勒索病毒並執行，而整個過程的動作一般都是預設好的，所以通常也不會做其他如拖庫等行為。

「這次易到的加密勒索從表面上看起來是比較符合這種廣撒網的傳播方式，特別是最近Windows RDS漏洞的爆發，看起來似乎是比較符合這種情況，每次新漏洞的爆發和Exp的流出總會導致在接下來的一段時間內利用該漏洞的加密勒索或者入侵挖礦等入侵事件增多。」

宅宅從相關人士口中得知，此次事件的確有幾處存疑：

1、官方提到的勒索數額巨大，而一般加密勒索一般就是幾個比特幣，達不到數額巨大的地步；

2、根據易到官方的公告，這次主要是核心資料庫被加密，而一般核心資料庫的安全防護等級應該是比較高的，通常不應該存在勒索病毒所利用的那些常見的通用漏洞；

3、針對性的入侵利用勒索病毒進行勒索的案例的確存在，因為這種方式相對比直接發郵件勒索更安全；

「所以這次的事件還是有很大的可能性是一次定向勒索事件。當然，到底是不是還需要官方公開更多細節和證據來做判斷。」

企業勒索事件激增？幻覺！

勒索攻擊在我國爆發是在2016年初，起初大家對勒索病毒的直接感知是來源於WannaCry，這就給人種下了個人電腦更容易遭受加密勒索的感覺，但實際情況並非如此。

馬剛稱，由於個人用戶安全級別較低，更加容易撞到槍口上。但是，個人用戶一般會將此類郵件列入到「垃圾郵件」的行列（很多人並不覺得自己的信息有多值錢），因此真正能勒索到的也就只有零星幾家企業端受害者。

文件被加密了，可以通過爆破解密嗎？

對此，有的黑客選擇將攻擊對象鎖定在企業範圍當中。針對企業植入勒索病毒通常有四種傳播方式：

a、通過郵件附件傳播，這更多的是針對企業的辦公網路，通過批量發送郵件給企業、高校、醫院機構等單位，這種類型主要針對那些如企業財務用電腦等有價值的電腦。

b、網站掛馬，通過獲取了網站的許可權，在網頁中植入惡意代碼，主要是利用IE等瀏覽器漏洞，企業員工訪問網頁就會執行惡意代碼從而植入勒索病毒。

c、利用系統或服務漏洞，直接執行漏洞Exp從而在目標伺服器中執行命令並植入勒索病毒。

d、一些軟體供應鏈，比如通過入侵一些軟體的升級伺服器替換升級程序為勒索病毒。

張祖優稱，對於黑客而言針對企業和個人用戶的攻擊成本各有優劣，主要取決於攻擊方式。而選擇攻擊前者的成本最終還是取決於企業的安全防護等級高低。

有時候，掏贖金也沒用

加密勒索一般分為兩種——欺騙式勒索和真實勒索。前者多出現在Linux伺服器，黑客在入侵了數據服務後直接刪除數據，然後留下勒索信息，要求支付比特幣來贖回數據；這種情況黑客就是通過欺騙的方式，看最終有幾個上當受騙支付比特幣。

馬剛將這種行為稱作「變態勒索」，他補充道，在之前的案例中，還有情況是勒索信息本身為欺騙信息，受害者不光無法得到數據，甚至連贖金都沒地方交。

出現這種奇葩情況，通常會有兩種原因：一個是由於勒索攻擊過於老舊，攻擊者停用了支付綁定的郵箱或者關停了支付流程；另一種則純為報復性的勒索行為，所謂支付渠道只是個幌子。

張祖優稱，近幾年入侵後進行加密和挖礦成為了黑客攻擊存在的兩類主要風險。這與加密勒索的流行、各種漏洞的爆發以及數字貨幣熱潮的來臨都不無關係。因此，這可以說是一個綜合性因素造成的結果。

「面對幾百G的數據，黑客是如何把它們轉移走或者全部加密的？答案很簡單，你的數據被直接刪除了，如果你有備份自然就好辦，如果沒有，就只能試試磁碟文件恢復的方式了。」

加密勒索易守難攻

「歸根結底，企業不重視安全問題是讓他們最終陷入困境的源頭。」

馬剛稱，這就好像一位病人，最初的潛伏期往往需要儘快醫治，但在他看來並不算事，直到晚期了才找到醫生說：求你把我救活吧。加密勒索可謂是易守難攻，一旦遭受攻擊，只有極小可能性能夠找出密鑰，大多情況是束手無策的。

張祖優認為，針對加密勒索，首先，其核心在於數據，所以數據的異地或者異機備份是重中之重。

其次，及時修復系統漏洞（特別是Windows補丁應該及時更新），而針對伺服器，建議善用安全組或者防火牆，部署的服務不要使用默認配置，要限制訪問來源；而伺服器的訪問建議Linux使用密鑰登錄，Windows可以修改默認埠，避免弱口令，如果有條件的話使用堡壘機或者統一跳板機。

再者，加強員工意識培訓，不要打開一些未知郵件，也不要用辦公電腦去訪問一些可疑網站，安裝一些未知軟體，如果企業有條件的話，可以在企業IT角度做一些安全投入。

以下為安全建議：

a、針對合規和安全管理入手，把資產、配置和基線做好，很多漏洞都是屬於安全基線範疇。

b、重視並建立安全運營機制，建立漏洞響應和管理機制，及時跟進最新爆發漏洞，及時修復相關安全問題，對於部署上線的業務需要進行安全加固。

c、可以搭載一些外部安全能力，如進行滲透測試，可以有效的發現企業相關的脆弱環節和安全問題，及時進行修補。

d、可以適當採購一些安全產品，不管是研發還是辦公體系，通過專業的安全人員運營安全產品構建一定的安全防禦體系。

f、重視員工的安全意識培訓，很多時候，企業安全這個木桶最短的板往往是員工。雷鋒網雷鋒網雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！