-技術文章
陣列技術
2025.02.19

NAS勒索病毒救援成功案例:專家提供預防措施與救援服務

▼目錄


勒索病毒只會攻擊個人電腦嗎?個人和企業使用的NAS(網路儲存裝置)也會遭到勒索病毒攻擊,因NAS內部通常有大量且重要的個人與公司資料,這更容易成為駭客攻擊的目標,可能會面臨資料無法讀取和被加密的情況,對公司運作造成極大困擾,以下提供NAS勒索病毒的資安防範方法,同時睿卡科技提供NAS勒索病毒的資料救援服務。
 

NAS勒索病毒的攻擊


NAS(Network Attached Storage)是現在常見的儲存設備,但也是勒索病毒攻擊的目標,常見的NAS勒索病毒包含CryptoLocker、Locky、WannaCry...等,近期日益嚴重的惡意病毒,如果不幸被NAS勒索病毒攻擊,NAS內部的資料會被清除或加密,並且駭客會要求支付高額贖金換取解密金鑰(Key),贖金通常透過加密貨幣(比特幣BTC、泰達幣USDT..等)來支付,因為可以隱藏駭客身份和支付過程,如果想了解NAS是什麼?請參考這篇《NAS是什麼?專家說明網路儲存裝置的功能和優點》。

▼NAS勒索病毒的攻擊方式

NAS勒索病毒會對重要資料造成危害的惡意病毒,NAS被攻擊的方式與一般勒索病毒相同,但NAS通常擁有多個使用者共享的資料夾,因此對資料的影響更嚴重,勒索病毒攻擊時可能會在桌面(C:/Desktop)、儲存集區(/Volume)、某個資料夾中新增勒索文件檔(READ ME.txt),並要求支付贖金以取回這些被加密的資料,以下說明NAS勒索病毒的常見來源。
 
  • 來源1:植入病毒的惡意網站和郵件(Email)
    駭客通常會在惡意網站或郵件植入並傳播NAS勒索病毒,網站可能存在漏洞與一些不明連結,郵件內有惡意連結或附件,一但開啟或下載,NAS勒索病毒會修改NAS的使用者權限,甚至攻擊重要的資料將其加密和清除。
     
  • 來源2:NAS安全漏洞
    勒索病毒駭客會利用NAS系統的安全漏洞攻擊,因為可能是系統過舊未更新與沒有安裝網路防火牆,駭客會透過網路攻擊入侵NAS,導致登入密碼被修改,重要的資料也被勒索加密。
     
  • 來源3:多人使用的共享資料夾被攻擊
    勒索病毒可能透過破解並攻擊密碼簡單的NAS使用者,只要某個使用者被NAS勒索病毒攻擊,就會開始入侵共用資料夾並進行勒索,導致共用資料夾的檔案被加密和隱藏。

電腦或NAS中了勒索病毒的提示視窗
(電腦或NAS中了勒索病毒的提示視窗)
 

NAS勒索病毒救援成功案例


睿卡科技協助並解決許多NAS勒索病毒的案件,如果NAS被勒索病毒攻擊時,請立即中斷網路和關機,我們都『有機會救援資料』,以下提供NAS勒索病毒的資料救援成功案例。
 
  • 救援案例1:
    這案例是建立RAID6的NAS裝置,公司部門在整理一項重要專案的資料,但發現被勒索病毒攻擊,全部的檔案都被清除和加密,取而代之的是勒索文字檔(READ ME.txt),因為勒索病毒的駭客加密全部資料並隱藏起來,使用者情急之下與駭客協商,最終支付1,200USDT(約新台幣38,000元)的贖金,駭客提供解密的方式,但根本無法解密並且資料仍然消失,幸運的是當時使用者已將NAS交給睿卡科技搶救,工程部對全部硬碟執行鏡像(Clone)作業,這讓使用者可以執行復原資料的雙向方案,最後睿卡科技成功救回並交付資料給使用者。

READ ME.txt 為這個NAS勒索救援案例中的勒索信
(READ ME.txt 為這個NAS勒索救援案例中的勒索信)

共5個8TB硬碟建立RAID6遭到NAS勒索病毒攻擊,重要資料都被加密
(共5個8TB硬碟建立RAID6遭到NAS勒索病毒攻擊,重要資料都被加密)
 
  • 救援案例2:
    教會多年使用的NAS被勒索病毒攻擊,NAS共兩個硬碟組成JBOD,裡面的全部檔案副檔名都被更改為「.RADMAN」,這類型的勒索病毒是「STOP」系列,通常是利用使用者下載網路上的不明軟體來攻擊傳播,不建議使用下載安裝來路不明的破解軟體,最終經睿卡科技的工程師團隊進行完整鏡像,以免原始硬碟二次損壞,再由工程師分析資料加密方式並人工破解檔案結構,成功救回使用者的重要資料。

NAS勒索病毒可能會變更檔案的副檔名
(NAS勒索病毒可能會變更檔案的副檔名)

共2個硬碟建立JBOD的NAS遭到NAS勒索病毒加密成功救援案例
(共2個硬碟建立JBOD的NAS遭到NAS勒索病毒加密成功救援案例)
 
  • 救援案例3:
    這案例為知名旅遊公司,Synology NAS總共2個4TB的硬碟建立RAID1,某位使用者發現重要的客戶資料夾遺失,立即登入NAS後台(DSM)查看,發現僅剩零散的資料,大部份的資料夾和檔案都消失,並在某些資料夾有勒索病毒的勒索文件(檔名:!!!What happened!!!),要求使用者聯繫駭客並支付贖金才能解密,但這次勒索文件與先前睿卡科技解決的案例不同,代表不同來源的駭客在攻擊,最終NAS經睿卡科技的工程師團隊進行資料解密分析,確認這個NAS勒索病毒攻擊會破壞目錄架構和Btrfs File System,這意味一些資料無法恢復原始目錄,最後我們順利救回95%完整度的資料。

!!!What happened!!!為勒索病毒的勒索文件檔
(!!!What happened!!!為勒索病毒的勒索文件檔)

共2個硬碟建立RAID1的NAS遭到NAS勒索病毒加密成功救援案例
(共2個硬碟建立RAID1的NAS遭到NAS勒索病毒加密成功救援案例)
 

NAS勒索病毒不妥協和支付贖金

 
NAS勒索病毒的攻擊事件不斷發生,造成企業和個人的資料嚴重威脅,因為NAS勒索病毒會將內部資料加密並要求高額贖金,資料無法使用對公司營運上造成極大影響,也對重要資料和資安構成威脅。

▼NAS勒索病毒攻擊的應對步驟

NAS勒索病毒會導致資料遺失,不建議向駭客屈服和支付贖金,因為支付贖金無法保證資料回來,還會鼓勵駭客攻擊其他裝置,我們有許多客戶與駭客協商支付贖金,最後資料不但沒取回來,駭客還要求支付第二筆、第三筆贖金。
 
  • 步驟1:立即關閉網路並隔離
    NAS被勒索病毒攻擊時,建議立即關閉網路並中斷NAS連接的電腦和外接硬碟,以免勒索病毒擴散到其他裝置上,導致資料被清除和加密。
     
  • 步驟2:檢查資料和狀態
    NAS可能有些資料尚未被加密和清除,如果對NAS熟悉的使用者,可以利用斷網本地離線的方式,優先將未被加密可用的資料備份出來,如果發現全部資料都被清除和加密,建議立即關機,停止所有資料上傳、編輯、下載的操作。
     
  • 步驟3:不支付贖金
    不建議向駭客妥協和支付贖金,因為我們近期諮詢的客戶案例,有些客戶支付了贖金,但資料仍無法取回並且又要求支付更多贖金,這反而鼓勵駭客的惡意行為。
     
  • 步驟4:委託睿卡科技專業團隊
    重要的資料被NAS勒索病毒攻擊時,建議委託專業的資料救援公司,睿卡科技擁有許多救援成功案例和經驗,可以評估救援機會與提供合適的應對方法。
 

NAS勒索病毒的資安防範


NAS勒索病毒是企業資安的嚴重問題,因為很多企業都成為攻擊的目標,NAS是現在中小企業常使用的儲存裝置,如果重要的資料被隱藏和加密,這會導致資料跟財務損失與業務中斷,NAS勒索病毒攻擊如何防範?這是企業保護資安的急迫問題,以下提供NAS勒索病毒的資安防範措施。
 
  • 措施1:企業資安教育訓練
    公司每位員工都應接受NAS勒索病毒的教育訓練,包含認識勒索病毒、資安風險、防範意識...等,有效識別可疑郵件、附件、連結等惡意攻擊管道,提高對NAS勒索病毒與資安威脅的防範能力。
     
  • 措施2:強化網路安全和密碼保護
    公司需實施嚴格的網路安全,包含設置防火牆、防毒軟體、不明登入通報系統...等,同時各個使用者建立高強度密碼並定期變更,這樣可以保護網路與使用者帳號的安全性。
     
  • 措施3:資料定期備份
    公司使用者需建立定期資料備份的習慣,建議不同部門和使用者備份在離線裝置,像是外接式硬碟或隨身碟,可以避免裝置壞掉和被NAS勒索病毒攻擊無法恢復的問題,因為有異地備援可以快速恢復被NAS勒索病毒加密的資料,如果想了解資料備份的方法,請參考這篇《資料備份全攻略:認識5個備份方法與觀念》。
     
  • 措施4:設定使用者的存取權限
    根據不同的使用者建立存取權限,限制對NAS其他共享資料夾的權限,降低所有資料被NAS勒索病毒感染的風險,如果不幸被NAS勒索病毒攻擊,也不至於全部的資料都遭到加密,能最大程度減少損失。
     
  • 措施5:更新和監控NAS系統
    公司的NAS管理員可以定期更新NAS系統和安全漏洞,建議定期監控系統和資料傳輸量,如果發現可疑活動需立即解決。

可以安裝網路防火牆,加強NAS的資安保障
(可以安裝網路防火牆,加強NAS的資安保障)
 

NAS勒索病毒的資料救援


NAS被勒索病毒攻擊嗎?重要的公司資料檔案被加密或消失隱藏嗎?睿卡科技擁有眾多勒索病毒破解和成功救援的案例經驗,如果有類似問題,建議立即關閉網路和主機,以免重要的檔案被破壞更嚴重,我們提供NAS勒索病毒資料救援的服務。

⒈檢測NAS勒索病毒的硬碟

我們提供總公司現場送件與《免運費快遞到府取件》的服務,工程師團隊收到NAS後,檢測時間約1-2天,由專業工程師親自說明救援機會和救援費用。
 
⒉NAS勒索病毒救援報價和救援機會

專業工程師檢測NAS完成,說明NAS的救援機會:
 
  • 資料救援的報價費用
  • 預估所需的工作時間
  • 同意報價後我們立即執行救援作業
 
⒊NAS勒索病毒資料救援作業

工程師團隊定期回覆救援的進度,並於完成救援後立即通知,如果我們沒有成功救出資料則不會收取救援費,給予客戶最大的保障,讓客戶不會有白花錢的風險。
 
⒋驗收NAS救出的資料

專業工程師救援完成後,與使用者約定時間驗收檔案,親自確認檔案是否正常與是否有救出重要的資料,最後確認無問題才會收取救援費並交付資料。
02-27199059