-技術文章
陣列技術
2024.05.15

NAS勒索病毒救援成功案例:防範與救回資料的有效方法

▼目錄


勒索病毒不僅猖獗在個人電腦,也對企業使用的NAS造成威脅,NAS是一種網路儲存裝置,裡面通常有大量、重要的企業資料,更容易成為駭客攻擊的目標,會面臨資料無法讀取和被加密的情況,對公司運作造成極大困擾,以下提供有效的資安防範方法,同時睿卡科技也提供NAS勒索病毒的資料救援服務,幫忙各位從困境中恢復資料。
 

NAS勒索病毒的攻擊


NAS(Network Attached Storage)是目前常見的儲存設備,但也是駭客攻擊的目標之一,NAS勒索病毒例如:CryptoLocker、Locky、WannaCry...等,是一種日益嚴重的惡意軟體,若NAS不幸遭到勒索病毒攻擊,NAS的資料會被加密,駭客會要求支付高額贖金以換取解密金鑰,而這些贖金通常透過加密貨幣(比特幣BTC、泰達幣USDT..等),可以隱藏駭客身份和支付過程,以下說明NAS勒索病毒的攻擊方式,如果想了解NAS是什麼?請參考這篇《NAS是什麼?探索網路儲存裝置的功能和優點》。

▼NAS勒索病毒的攻擊方式

NAS勒索病毒是一種對資料造成危害的惡意軟體,攻擊方式與一般勒索病毒相似,但因為NAS涉及多個使用者共享的資料夾,因此對資料的影響更嚴重,通常會在桌面(C:/Desktop)或儲存集區(/Volume)新增一個勒索文件檔(READ ME.txt),要求支付贖金以取回這些被加密的資料,以下是NAS勒索病毒的常見來源。
 
  • 來源1:惡意郵件和附件
    駭客通常透過惡意郵件來傳播NAS勒索病毒,郵件內可能有惡意連結或附件,一但開啟或下載,NAS勒索病毒就會感染此使用者權限可讀寫的資料。
     
  • 來源2:惡意網站
    利用惡意網站植入NAS勒索病毒,當使用者瀏覽這些網站時,勒索病毒可能會感染NAS,導致重要的資料被加密或隱藏。
     
  • 來源3:NAS安全漏洞
    駭客利用NAS系統的安全漏洞,通常是因為未更新或未安裝防火牆,遭到遠程的網路攻擊入侵NAS,最終對資料進行勒索加密。
     
  • 來源4:密碼破解和共享資料夾感染
    可能會透過一些破解方式攻擊較弱密碼的NAS使用者,其中一個使用者不幸感染NAS勒索病毒,開始入侵共用資料夾或單一資料夾進行勒索,導致共用資料夾中的檔案被加密或隱藏。

電腦或NAS中了勒索病毒的提示視窗
(電腦或NAS中了勒索病毒的提示視窗)
 

NAS勒索病毒救援成功案例


睿卡科技協助過許多NAS勒索病毒的案件,若NAS不幸遭到攻擊時,我們『有機會可以協助救援』,以下是一些NAS勒索病毒的成功救援案例。
 
  • 救援案例1:
    這個案例是建立RAID6的NAS裝置,公司部門正在整理一項重要專案的資料,但不幸遭遇勒索病毒的攻擊,全部的檔案都無法讀取和被加密,取而代之的是一個勒索文字檔(READ ME.txt),駭客加密所有資料並隱藏起來,情急之下,使用者與駭客協商,最終支付了1,200USDT(約新台幣38,000元)的贖金,儘管駭客提供解密的方式,但重要資料在解密後依然無法恢復,幸運的是,使用者當時已將NAS交給我們處理,我們提前執行鏡像(Clone),這讓使用者可以雙向執行復原資料的方案,最終睿卡科技成功救回資料並完整交付資料。

READ ME.txt 為這個NAS勒索救援案例中的勒索信
(READ ME.txt 為這個NAS勒索救援案例中的勒索信)

共5個8TB硬碟建立RAID6遭到NAS勒索病毒攻擊,重要資料都被加密
(共5個8TB硬碟建立RAID6遭到NAS勒索病毒攻擊,重要資料都被加密)
 
  • 救援案例2:
    基督教福音宣教會使用的NAS遭到NAS勒索病毒攻擊,這個NAS共有兩顆硬碟組成JBOD,裝置所有檔案的副檔名都變為「.RADMAN」,這種類型的勒索病毒屬於「STOP」系列,常見是透過網路上的免費破解軟體來傳播,所以不建議使用來路不明的破解軟體,這案件經由睿卡科技的工程師團隊首先進行了完整鏡像,以免硬碟受到損壞,然後分析資料加密方式,最後經工程師團隊人工破解和修復檔案結構,成功救回使用者的重要資料。

NAS勒索病毒可能會變更檔案的副檔名
(NAS勒索病毒可能會變更檔案的副檔名)

共2個硬碟建立JBOD的NAS遭到NAS勒索病毒加密成功救援案例
(共2個硬碟建立JBOD的NAS遭到NAS勒索病毒加密成功救援案例)
 
  • 救援案例3:
    此案例為某知名旅遊業公司,公司使用Synology NAS並配置2個4TB的硬碟建立RAID1,使用者在上班時間發現重要的客戶資料夾遺失,立即登入DSM(Synology NAS後台)查看,發現只剩下零散和較少使用的資料,大部份重要的資料都消失,並發現一份勒索病毒的勒索文件(檔名:!!!What happened!!!),勒索文件的內容如圖,要求使用者需要聯繫駭客並支付贖金才能解密,但這次勒索文件的檔名與先前睿卡科技解決的案例不同,代表是不同來源的駭客在進行攻擊,案件經由睿卡科技的工程師團隊進行資料加密方式的分析,發現這個勒索病毒的加密方式會導致Btrfs File System受損,這意味著少部份的資料無法回到原始的資料目錄中,最後我們順利救回95%完整度的資料,帶給使用者很大的幫助。

!!!What happened!!!為勒索病毒的勒索文件檔
(!!!What happened!!!為勒索病毒的勒索文件檔)

共2個硬碟建立RAID1的NAS遭到NAS勒索病毒加密成功救援案例
(共2個硬碟建立RAID1的NAS遭到NAS勒索病毒加密成功救援案例)
 

NAS勒索病毒不妥協和支付贖金

 
近期NAS勒索病毒的事件不斷發生,給企業和個人的資料造成嚴重威脅,NAS勒索病毒會將裡面的資料加密並要求高額贖金,這對公司營運上造成了影響,也對資料的完整性和保密性構成威脅。

▼NAS勒索病毒的中毒應對

NAS勒索病毒是導致資料遺失的嚴重問題,但不應該向駭客屈服,更不應該支付贖金,因為支付贖金無法保證資料都能解密,還會鼓勵駭客攻擊其他裝置,以下說明NAS勒索病毒的應對步驟。
 
  • 步驟1:隔離遭到感染的NAS
    NAS不幸感染勒索病毒時,建議將這台NAS隔離和關閉網路,防止勒索病毒擴散到其他NAS和電腦。
     
  • 步驟2:檢查資料並停止其他操作
    如果有些資料尚未被加密,建議透過本地網路離線方式,將資料備份至外接硬碟中,並使用複製貼上的方式,若所有資料都被加密,請立即關機,停止所有與受感染NAS有關的操作,例如:資料上傳、編輯等,以防止NAS勒索病毒對更多資料進行加密。
     
  • 步驟3:不要支付贖金
    請不要向駭客妥協並支付贖金,以睿卡科技近期遇到的案例,發生支付贖金但資料一樣無法取回的情況,反而鼓勵駭客的惡意行為。
     
  • 步驟4:委託睿卡科技專業團隊
    資料不幸遭到NAS勒索病毒感染,建議委託專業的資料救援公司,我們可以檢測評估救援機會和說明適當的應對方式。
 

NAS勒索病毒的資安防範


NAS勒索病毒是資安領域中的一個嚴重問題,許多企業和個人都成為攻擊的目標,NAS作為現在常見的儲存裝置,重要的資料被加密或隱藏的情況越來越頻繁,可能導致資料損失、業務中斷、財務損失等,如何防範NAS勒索病毒的攻擊,是保護資料安全的急迫問題,以下介紹NAS勒索病毒的資安防範措施。
 
  • 措施1:企業資安教育訓練
    每位員工都應該接受NAS勒索病毒的教育訓練,包含資安風險認識和防範意識,可以有效識別可疑郵件、附件、連結等,提高他們對NAS勒索病毒和其他網路威脅的防範能力。
     
  • 措施2:強化網路安全和密碼保護
    公司內部實施嚴格的網路安全,例如:設置防火牆、防毒軟體、不明登入通報系統...等,同時各個使用者建立高強度密碼並定期變更,這樣可以保障網路設備和使用者帳戶的安全性。
     
  • 措施3:資料定期備份
    每個使用者建立定期備份資料的流程,建議將重要的資料備份在離線裝置,例如:外接硬碟、USB隨身碟,這樣可以防止資料被NAS勒索病毒加密或隱藏時無法恢復的問題,有異地備援就可以快速恢復遭到NAS勒索病毒加密的資料,如果想了解資料備份的方法,請參考這篇《資料備份全攻略:認識5個備份方法與觀念》。
     
  • 措施4:設定使用者的存取權限
    根據每位不同的使用者建立適當的存取權限,限制使用者對NAS其他共享資料夾讀取權限,降低所有資料被NAS勒索病毒感染的風險,這樣即使遭到NAS勒索病毒攻擊,也不至於所有資料遭到加密,能最大程度減少損失。
     
  • 措施5:更新NAS系統並監控
    公司的NAS管理員可以定期更新NAS系統更新和安全漏洞,建議定期監控系統運作和傳輸流量,可以發現可疑活動並立即解決安全問題。

可以安裝網路防火牆,加強NAS的資安保障
(可以安裝網路防火牆,加強NAS的資安保障)
 

NAS勒索病毒的資料救援


公司重要的NAS遭到勒索病毒攻擊嗎?發生檔案被加密或被隱藏的情況,睿卡科技曾有破解成功的經驗,若有這類問題,建議立即關閉網路,都還有機會可以恢復,我們提供NAS勒索病毒救援的服務流程。

⒈檢測NAS勒索病毒的硬碟

我們提供總公司現場送件與《免運費快遞到府取件》的服務,工程師團隊收到NAS後,檢測時間約1-2天,由專業工程師親自說明救援機會和救援費用。
 
⒉NAS勒索病毒救援報價和救援機會

專業工程師檢測NAS完成,說明NAS的救援機會:
 
  • 資料救援的報價費用
  • 預估所需的工作時間
  • 同意報價後我們立即執行救援作業
 
⒊NAS勒索病毒資料救援作業

工程師團隊定期回覆救援的進度,並於完成救援後立即通知,如果我們沒有成功救出資料則不會收取救援費,給予客戶最大的保障,讓客戶不會有白花錢的風險。
 
⒋驗收NAS救出的資料

專業工程師救援完成後,與使用者約定時間驗收檔案,親自確認檔案是否正常與是否有救出重要的資料,最後確認無問題才會收取救援費並交付資料。
02-27199059