详解：易到用车如何被黑客“开”走了车

会员服务 ·

详解：易到用车如何被黑客“开”走了车

2019 年 5 月 27 日 宅客频道

“无车可用，客服失联，APP也无法定位......易到用车，你是人间蒸发了吗？赔我的充值款啊啊啊！”

26号一大早，黑猫投诉平台累计处理了类似投诉信息共计164008次。投诉原因很简单：易到用车没车可用。

用户们要求易到用车退还3122元的充值款，并要其对于这种欺诈行为给出个说法。

没过多久，说法就如约而至了：

简单概括就是“同志们，不是你们被骗喽，是我被绑架喽！”

值得一提的是，十天前，易到用车刚刚获得数千万元战略投资，投资方为大股东韬蕴资本。

对此，网友在微博下的留言可谓是千奇百怪——服务器啥时候恢复呀、恢复之后数据还能不能找回来呀、核心数据会不会被挪为他用呀、损失大不大呀，等等。

面对这些问题，宅宅找到火绒创始人马刚和腾讯安全云鼎实验室云安全研究员张祖优聊了聊。

广撒网特征，但疑点重重

易到有车事件中，黑客不光加密了核心数据，使其面临巨额勒索，还通过攻击手段使得服务器宕机，才有了上面的大批用户投诉。

张祖优称，一般来说，针对服务器的勒索病毒都是通过广撒网的方式，也就是没有固定目标，一般就是扫描某个网段或者IP列表进行批量化的攻击，利用某个通用漏洞进行入侵和植入勒索病毒并执行，而整个过程的动作一般都是预设好的，所以通常也不会做其他如拖库等行为。

“这次易到的加密勒索从表面上看起来是比较符合这种广撒网的传播方式，特别是最近Windows RDS漏洞的爆发，看起来似乎是比较符合这种情况，每次新漏洞的爆发和Exp的流出总会导致在接下来的一段时间内利用该漏洞的加密勒索或者入侵挖矿等入侵事件增多。”

宅宅从相关人士口中得知，此次事件的确有几处存疑：

1、官方提到的勒索数额巨大，而一般加密勒索一般就是几个比特币，达不到数额巨大的地步；

2、根据易到官方的公告，这次主要是核心数据库被加密，而一般核心数据库的安全防护等级应该是比较高的，通常不应该存在勒索病毒所利用的那些常见的通用漏洞；

3、针对性的入侵利用勒索病毒进行勒索的案例的确存在，因为这种方式相对比直接发邮件勒索更安全；

“所以这次的事件还是有很大的可能性是一次定向勒索事件。当然，到底是不是还需要官方公开更多细节和证据来做判断。”

企业勒索事件激增？幻觉！

勒索攻击在我国爆发是在2016年初，起初大家对勒索病毒的直接感知是来源于WannaCry，这就给人种下了个人电脑更容易遭受加密勒索的感觉，但实际情况并非如此。

马刚称，由于个人用户安全级别较低，更加容易撞到枪口上。但是，个人用户一般会将此类邮件列入到“垃圾邮件”的行列（很多人并不觉得自己的信息有多值钱），因此真正能勒索到的也就只有零星几家企业端受害者。

文件被加密了，可以通过爆破解密吗？

对此，有的黑客选择将攻击对象锁定在企业范围当中。针对企业植入勒索病毒通常有四种传播方式：

a、通过邮件附件传播，这更多的是针对企业的办公网络，通过批量发送邮件给企业、高校、医院机构等单位，这种类型主要针对那些如企业财务用电脑等有价值的电脑。

b、网站挂马，通过获取了网站的权限，在网页中植入恶意代码，主要是利用IE等浏览器漏洞，企业员工访问网页就会执行恶意代码从而植入勒索病毒。

c、利用系统或服务漏洞，直接执行漏洞Exp从而在目标服务器中执行命令并植入勒索病毒。

d、一些软件供应链，比如通过入侵一些软件的升级服务器替换升级程序为勒索病毒。

张祖优称，对于黑客而言针对企业和个人用户的攻击成本各有优劣，主要取决于攻击方式。而选择攻击前者的成本最终还是取决于企业的安全防护等级高低。

有时候，掏赎金也没用

加密勒索一般分为两种——欺骗式勒索和真实勒索。前者多出现在Linux服务器，黑客在入侵了数据服务后直接删除数据，然后留下勒索信息，要求支付比特币来赎回数据；这种情况黑客就是通过欺骗的方式，看最终有几个上当受骗支付比特币。

马刚将这种行为称作“变态勒索”，他补充道，在之前的案例中，还有情况是勒索信息本身为欺骗信息，受害者不光无法得到数据，甚至连赎金都没地方交。

出现这种奇葩情况，通常会有两种原因：一个是由于勒索攻击过于老旧，攻击者停用了支付绑定的邮箱或者关停了支付流程；另一种则纯为报复性的勒索行为，所谓支付渠道只是个幌子。

张祖优称，近几年入侵后进行加密和挖矿成为了黑客攻击存在的两类主要风险。这与加密勒索的流行、各种漏洞的爆发以及数字货币热潮的来临都不无关系。因此，这可以说是一个综合性因素造成的结果。

“面对几百G的数据，黑客是如何把它们转移走或者全部加密的？答案很简单，你的数据被直接删除了，如果你有备份自然就好办，如果没有，就只能试试磁盘文件恢复的方式了。”

加密勒索易守难攻

“归根结底，企业不重视安全问题是让他们最终陷入困境的源头。”

马刚称，这就好像一位病人，最初的潜伏期往往需要尽快医治，但在他看来并不算事，直到晚期了才找到医生说：求你把我救活吧。加密勒索可谓是易守难攻，一旦遭受攻击，只有极小可能性能够找出密钥，大多情况是束手无策的。

张祖优认为，针对加密勒索，首先，其核心在于数据，所以数据的异地或者异机备份是重中之重。

其次，及时修复系统漏洞（特别是Windows补丁应该及时更新），而针对服务器，建议善用安全组或者防火墙，部署的服务不要使用默认配置，要限制访问来源；而服务器的访问建议Linux使用密钥登录，Windows可以修改默认端口，避免弱口令，如果有条件的话使用堡垒机或者统一跳板机。

再者，加强员工意识培训，不要打开一些未知邮件，也不要用办公电脑去访问一些可疑网站，安装一些未知软件，如果企业有条件的话，可以在企业IT角度做一些安全投入。

以下为安全建议：

a、针对合规和安全管理入手，把资产、配置和基线做好，很多漏洞都是属于安全基线范畴。

b、重视并建立安全运营机制，建立漏洞响应和管理机制，及时跟进最新爆发漏洞，及时修复相关安全问题，对于部署上线的业务需要进行安全加固。

c、可以搭载一些外部安全能力，如进行渗透测试，可以有效的发现企业相关的脆弱环节和安全问题，及时进行修补。

d、可以适当采购一些安全产品，不管是研发还是办公体系，通过专业的安全人员运营安全产品构建一定的安全防御体系。

f、重视员工的安全意识培训，很多时候，企业安全这个木桶最短的板往往是员工。

-----招聘好基友的分割线-----