最近的 QNAP NAS 爆發 Qlocker 勒索病毒的攻擊

QNAP 威聯通科技，為一間台灣的跨國科技公司，主要產品有網路儲存裝置（NAS）及視訊監控錄影系統，近年亦跨足儲存區域網路（SAN）及網路通訊設備市場，推出網路交換器及 Wi-Fi 路由器等，競爭對手是同樣來自台灣的 Synology 群暉，主要差異在系統軟體跟硬體界面的設計考量。

近期比較著名的事件，在 2021 年 4 月 19 日起有用戶回報遭到 Qlocker 勒索病毒的攻擊，受害者數量快速增加，世界各國陸續傳出災情。該產品的漏洞允許任意人士取得完整的存取權限，並可在 NAS 上執行任意軟體，使用者的裝置一旦感染，首先快照都會被刪除，所有檔案會被惡意軟體使用 7zip 壓縮並加上密碼保護。而當 Qlocker 完成壓縮後，用戶的 NAS 中便會出現一個顯示「!!!READ_ME.txt」的未加密文字檔，內文即是威脅用戶付出 0.01 枚比特幣的贖金，以取得解壓縮用的密碼。

駭客以往都鎖定知名企業進行大金額的勒索，這次 Qlocker 鎖定大量較無資安觀念的一般用戶，要求小額的贖金也成功大賺一筆。

若尚未被感染，請儘速更新QTS版本，若勒索病毒正在加密檔案切勿重新開機、請立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描、並聯繫 QNAP 技術支援單位 (https://service.qnap.com/) 取得協助。

若檔案已被加密，且曾重開機，按照網友們的回饋，官方目前也無法協助救回檔案，僅能等待後續是否會出現解密工具，萬不得已才支付贖金以取得解壓縮密碼。

針對讓 QNAP NAS 直接連接到網際網路的個別使用者，官方強烈建議採取以下步驟，以確保連線安全：

• 將 QNAP NAS 安裝在路由器和防火牆後面，不允許 QNAP NAS 取得公開 IP 位址。關閉路由器 UPnP (通用隨插即用) 及 DMZ (非軍事區) 設定。亦建議關閉 QNAP NAS 上 的 UPnP 功能，並僅針對特定 QNAP NAS 服務所需的連接埠，啟用手動轉發。
• 若不使用 Telnet、SSH、網站伺服器、SQL 伺服器、phpMyAdmin 及 PostgreSQL 等服務，請加以停用。
• 在網際網路端 (外部) 避免使用預設連接埠編號 (例如 80、443、8080 以及 8081)。請改用自訂 (隨機) 的連接埠編號，例如將 8080 改為 9527。
• 僅使用 HTTPS 加密連線，或其他加密連線 (例如 SSH)。
• 在 QNAP NAS 安裝 QuFirewall，並僅允許指定區域或網段的 IP 位址進行連線。
• 建立一個新的管理員帳戶，並停用預設管理員帳號 (admin)。
• 所有使用者均應使用高強度的密碼，包括您在上一步所建立的新管理員帳戶。
• 在 QNAP NAS 啟用多因認證 (兩步驟驗證)。
• 啟用作業系統及 App 自動更新。
• 使用 IP 存取保護功能，拒絕登入失敗次數過多的 IP 位址。

多注意相關論壇訊息，有發現重大安全的漏洞就儘速更新，這次測試升級加上重啟服務大約會中斷10分鐘左右。