与上个月QNAP NAS 设备被勒索攻击相类似,近日华硕旗下子公司华芸科技(Asustor)的网络附加存储(NAS)也遭遇了勒索攻击。此次勒索攻击波及全球众多用户,并在ASUSTOR论坛上引起来广泛讨论。
两次攻击均是DeadBolt勒索软件所为,所有文件都被加了.deadbolt 文件扩展名。ASUSTOR 登录页面也被一张数据勒索通知代替,要求用户支0.03个比特币,折合人民币约七千多元,如下图所示:
目前,ASUSTOR尚未解释旗下的NAS设备是如何被加密的,但是一些用户认为,黑客是利用了PLEX 媒体服务器或 EZ Connect 中的某个漏洞加密了他们的NAS设备。
ASUSTOR 表示,针对此次勒索攻击事件,公司正在全力进行调查,并发布了说明:由于ASUSTOR NAS设备被Deadbolt勒索软件攻击,myasustor.com DDNS 服务将在问题调查期间被禁用。ASUSTOR也会第一时间公布事件的原因和后续调查的信息,确保用户NAS设备的安全,并将不遗余力解决被勒索攻击用户的问题。
为了更好地保护您的设备,ASUSTOR建议采取以下措施:
- 更改默认端口,包括默认的NAS Web 访问端口8000和8001,以及远程 Web 访问端口80和443;
- 禁用 EZ Connect;
- 关闭 Plex 端口并禁用 Plex;
- 做好文件/数据的备份工作;
- 关闭终端/SSH 和 SFTP 服务;
- 不要将ASUSTOR 设备暴露在互联网上,以免被 DeadBolt 加密。
ASUSTOR表示,如果设备已经被 DeadBolt 勒索软件感染,请强制关闭NAS 设备,并及时和ASUSTOR 技术人员联系,咨询如何恢复文件;禁止尝试重启设备,因为这会清除所有文件和数据。
截止到发稿,尚不清楚是否所有的ASUSTOR 设备都容易受到 DeadBolt 勒索软件攻击,但有报告显示 AS6602T、AS-6210T-4K、AS5304T、AS6102T 和 AS5304T 型号不受影响。不幸的是,由于无法免费恢复DeadBolt 勒索软件加密的文件,很多用户许多受影响的 QNAP 用户被迫支付赎金来恢复文件。
恢复固件即将发布
ASUSTOR在其发布的公告中写道,公司计划在2月23日发布恢复固件,让用户可以再次使用他们的 NAS 设备,但是已经被加密的文件和数据依旧无法恢复。更糟糕的是,即便用户支付了赎金,在恢复的过程中依旧可能无法恢复文件和数据,赎金记录页面和解密文件可能会被删除,这将给用户带来新的问题。
因此建议用户在运行恢复软件之前备份index.cgi和所有被DEADBOLT.html锁定的文件。这些文件包含支付赎金和接收解密密钥所需的信息,用户可以将其与 Emsisoft 的 DeadBolt 解密器一起使用。
支付赎金后,攻击者将创建一个比特币的交易,交易与支付赎金的比特币地址相同,其中包含受害者的解密密钥。解密密钥位于OP_RETURN输出下,如下所示:
比特币交易的 OP_RETURN 输出包含解密密钥
勒索上千万人民币的赎金
和上月针对QNAP设备的攻击类似,DeadBolt勒索组织正试图向ASUSTOR公司出售和本次勒索攻击有关的零日漏洞信息,以及所有受害者解密秘钥。
DeadBolt 赎金记录包含一个为“ASUSTOR 的重要消息”的链接,点击该链接后,将显示来自DeadBolt勒索软件的消息。
如果 ASUSTOR 支付 7.5个比特币,DeadBolt 攻击者将会出售所谓的零日漏洞的详细信息;
如果ASUSTOR 支付 50个比特币,那么DeadBolt 攻击者将会出售所有受害者的主解密秘钥和零日漏洞信息。这意味ASUSTOR将要承担本次勒索攻击的全部损失,约合人民币上千万元。
截止到目前ASUSTOR尚未表现出要支付这笔赎金,有专家表示ASUSTOR大概率不会支付赎金,因此如果你的设备被加密了,那么从备份中恢复或者支付0.03个比特币大概是比较有效的一个方法。
参考来源:https://www.bleepingcomputer.com/news/security/deadbolt-ransomware-now-targets-asustor-devices-asks-50-btc-for-master-key/