2021/05/02

最近的 QNAP NAS 爆發 Qlocker 勒索病毒的攻擊

QNAP 威聯通科技,為一間台灣的跨國科技公司,主要產品有網路儲存裝置(NAS)及視訊監控錄影系統,近年亦跨足儲存區域網路(SAN)及網路通訊設備市場,推出網路交換器及 Wi-Fi 路由器等,競爭對手是同樣來自台灣的 Synology 群暉,主要差異在系統軟體跟硬體界面的設計考量。

近期比較著名的事件,在 2021 年 4 月 19 日起有用戶回報遭到 Qlocker 勒索病毒的攻擊,受害者數量快速增加,世界各國陸續傳出災情。該產品的漏洞允許任意人士取得完整的存取權限,並可在 NAS 上執行任意軟體,使用者的裝置一旦感染,首先快照都會被刪除,所有檔案會被惡意軟體使用 7zip 壓縮並加上密碼保護。而當 Qlocker 完成壓縮後,用戶的 NAS 中便會出現一個顯示「!!!READ_ME.txt」的未加密文字檔,內文即是威脅用戶付出 0.01 枚比特幣的贖金,以取得解壓縮用的密碼。

駭客以往都鎖定知名企業進行大金額的勒索,這次 Qlocker 鎖定大量較無資安觀念的一般用戶,要求小額的贖金也成功大賺一筆。

若尚未被感染,請儘速更新QTS版本,若勒索病毒正在加密檔案切勿重新開機、請立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描、並聯繫 QNAP 技術支援單位 (https://service.qnap.com/) 取得協助。

若檔案已被加密,且曾重開機,按照網友們的回饋,官方目前也無法協助救回檔案,僅能等待後續是否會出現解密工具,萬不得已才支付贖金以取得解壓縮密碼。

針對讓 QNAP NAS 直接連接到網際網路的個別使用者,官方強烈建議採取以下步驟,以確保連線安全:


  • 將 QNAP NAS 安裝在路由器和防火牆後面,不允許 QNAP NAS 取得公開 IP 位址。關閉路由器 UPnP (通用隨插即用) 及 DMZ (非軍事區) 設定。亦建議關閉 QNAP NAS 上 的 UPnP 功能,並僅針對特定 QNAP NAS 服務所需的連接埠,啟用手動轉發。
  • 若不使用 Telnet、SSH、網站伺服器、SQL 伺服器、phpMyAdmin 及 PostgreSQL 等服務,請加以停用。
  • 在網際網路端 (外部) 避免使用預設連接埠編號 (例如 80、443、8080 以及 8081)。請改用自訂 (隨機) 的連接埠編號,例如將 8080 改為 9527。
  • 僅使用 HTTPS 加密連線,或其他加密連線 (例如 SSH)。
  • 在 QNAP NAS 安裝 QuFirewall,並僅允許指定區域或網段的 IP 位址進行連線。
  • 建立一個新的管理員帳戶,並停用預設管理員帳號 (admin)。
  • 所有使用者均應使用高強度的密碼,包括您在上一步所建立的新管理員帳戶。
  • 在 QNAP NAS 啟用多因認證 (兩步驟驗證)。
  • 啟用作業系統及 App 自動更新。
  • 使用 IP 存取保護功能,拒絕登入失敗次數過多的 IP 位址。

多注意相關論壇訊息,有發現重大安全的漏洞就儘速更新,這次測試升級加上重啟服務大約會中斷10分鐘左右。








沒有留言: