NAS勒索病毒救援成功案例：防範與救回資料的有效方法

▼目錄

---

• NAS勒索病毒的攻擊
• NAS勒索病毒救援成功案例
• NAS勒索病毒不妥協和支付贖金
• NAS勒索病毒的資安防範
• NAS勒索病毒的資料救援

---

勒索病毒不僅猖獗在個人電腦，也對企業使用的NAS造成威脅，NAS是一種網路儲存裝置，裡面通常有大量、重要的企業資料，更容易成為駭客攻擊的目標，會面臨資料無法讀取和被加密的情況，對公司運作造成極大困擾，以下提供有效的資安防範方法，同時睿卡科技也提供NAS勒索病毒的資料救援服務，幫忙各位從困境中恢復資料。
 

NAS勒索病毒的攻擊

NAS（Network Attached Storage）是目前常見的儲存設備，但也是駭客攻擊的目標之一，NAS勒索病毒例如：CryptoLocker、Locky、WannaCry...等，是一種日益嚴重的惡意軟體，若NAS不幸遭到勒索病毒攻擊，NAS的資料會被加密，駭客會要求支付高額贖金以換取解密金鑰，而這些贖金通常透過加密貨幣（比特幣BTC、泰達幣USDT..等），可以隱藏駭客身份和支付過程，以下說明NAS勒索病毒的攻擊方式，如果想了解NAS是什麼？請參考這篇《NAS是什麼？探索網路儲存裝置的功能和優點》。

▼NAS勒索病毒的攻擊方式

NAS勒索病毒是一種對資料造成危害的惡意軟體，攻擊方式與一般勒索病毒相似，但因為NAS涉及多個使用者共享的資料夾，因此對資料的影響更嚴重，通常會在桌面（C:/Desktop）或儲存集區（/Volume）新增一個勒索文件檔（READ ME.txt），要求支付贖金以取回這些被加密的資料，以下是NAS勒索病毒的常見來源。
 

• 來源1：惡意郵件和附件
  駭客通常透過惡意郵件來傳播NAS勒索病毒，郵件內可能有惡意連結或附件，一但開啟或下載，NAS勒索病毒就會感染此使用者權限可讀寫的資料。
   
• 來源2：惡意網站
  利用惡意網站植入NAS勒索病毒，當使用者瀏覽這些網站時，勒索病毒可能會感染NAS，導致重要的資料被加密或隱藏。
   
• 來源3：NAS安全漏洞
  駭客利用NAS系統的安全漏洞，通常是因為未更新或未安裝防火牆，遭到遠程的網路攻擊入侵NAS，最終對資料進行勒索加密。
   
• 來源4：密碼破解和共享資料夾感染
  可能會透過一些破解方式攻擊較弱密碼的NAS使用者，其中一個使用者不幸感染NAS勒索病毒，開始入侵共用資料夾或單一資料夾進行勒索，導致共用資料夾中的檔案被加密或隱藏。

(電腦或NAS中了勒索病毒的提示視窗)
 

NAS勒索病毒救援成功案例

睿卡科技協助過許多NAS勒索病毒的案件，若NAS不幸遭到攻擊時，我們『有機會可以協助救援』，以下是一些NAS勒索病毒的成功救援案例。
 

• 救援案例1：
  這個案例是建立RAID6的NAS裝置，公司部門正在整理一項重要專案的資料，但不幸遭遇勒索病毒的攻擊，全部的檔案都無法讀取和被加密，取而代之的是一個勒索文字檔（READ ME.txt），駭客加密所有資料並隱藏起來，情急之下，使用者與駭客協商，最終支付了1,200USDT（約新台幣38,000元）的贖金，儘管駭客提供解密的方式，但重要資料在解密後依然無法恢復，幸運的是，使用者當時已將NAS交給我們處理，我們提前執行鏡像（Clone），這讓使用者可以雙向執行復原資料的方案，最終睿卡科技成功救回資料並完整交付資料。

(READ ME.txt 為這個NAS勒索救援案例中的勒索信)


(共5個8TB硬碟建立RAID6遭到NAS勒索病毒攻擊，重要資料都被加密)
 

• 救援案例2：
  基督教福音宣教會使用的NAS遭到NAS勒索病毒攻擊，這個NAS共有兩顆硬碟組成JBOD，裝置所有檔案的副檔名都變為「.RADMAN」，這種類型的勒索病毒屬於「STOP」系列，常見是透過網路上的免費破解軟體來傳播，所以不建議使用來路不明的破解軟體，這案件經由睿卡科技的工程師團隊首先進行了完整鏡像，以免硬碟受到損壞，然後分析資料加密方式，最後經工程師團隊人工破解和修復檔案結構，成功救回使用者的重要資料。

(NAS勒索病毒可能會變更檔案的副檔名)


(共2個硬碟建立JBOD的NAS遭到NAS勒索病毒加密成功救援案例)
 

• 救援案例3：
  此案例為某知名旅遊業公司，公司使用Synology NAS並配置2個4TB的硬碟建立RAID1，使用者在上班時間發現重要的客戶資料夾遺失，立即登入DSM（Synology NAS後台）查看，發現只剩下零散和較少使用的資料，大部份重要的資料都消失，並發現一份勒索病毒的勒索文件（檔名：!!!What happened!!!），勒索文件的內容如圖，要求使用者需要聯繫駭客並支付贖金才能解密，但這次勒索文件的檔名與先前睿卡科技解決的案例不同，代表是不同來源的駭客在進行攻擊，案件經由睿卡科技的工程師團隊進行資料加密方式的分析，發現這個勒索病毒的加密方式會導致Btrfs File System受損，這意味著少部份的資料無法回到原始的資料目錄中，最後我們順利救回95%完整度的資料，帶給使用者很大的幫助。

(!!!What happened!!!為勒索病毒的勒索文件檔)


(共2個硬碟建立RAID1的NAS遭到NAS勒索病毒加密成功救援案例)
 

NAS勒索病毒不妥協和支付贖金

 
近期NAS勒索病毒的事件不斷發生，給企業和個人的資料造成嚴重威脅，NAS勒索病毒會將裡面的資料加密並要求高額贖金，這對公司營運上造成了影響，也對資料的完整性和保密性構成威脅。

▼NAS勒索病毒的中毒應對

NAS勒索病毒是導致資料遺失的嚴重問題，但不應該向駭客屈服，更不應該支付贖金，因為支付贖金無法保證資料都能解密，還會鼓勵駭客攻擊其他裝置，以下說明NAS勒索病毒的應對步驟。
 

• 步驟1：隔離遭到感染的NAS
  NAS不幸感染勒索病毒時，建議將這台NAS隔離和關閉網路，防止勒索病毒擴散到其他NAS和電腦。
   
• 步驟2：檢查資料並停止其他操作
  如果有些資料尚未被加密，建議透過本地網路離線方式，將資料備份至外接硬碟中，並使用複製貼上的方式，若所有資料都被加密，請立即關機，停止所有與受感染NAS有關的操作，例如：資料上傳、編輯等，以防止NAS勒索病毒對更多資料進行加密。
   
• 步驟3：不要支付贖金
  請不要向駭客妥協並支付贖金，以睿卡科技近期遇到的案例，發生支付贖金但資料一樣無法取回的情況，反而鼓勵駭客的惡意行為。
   
• 步驟4：委託睿卡科技專業團隊
  資料不幸遭到NAS勒索病毒感染，建議委託專業的資料救援公司，我們可以檢測評估救援機會和說明適當的應對方式。

 

NAS勒索病毒的資安防範

NAS勒索病毒是資安領域中的一個嚴重問題，許多企業和個人都成為攻擊的目標，NAS作為現在常見的儲存裝置，重要的資料被加密或隱藏的情況越來越頻繁，可能導致資料損失、業務中斷、財務損失等，如何防範NAS勒索病毒的攻擊，是保護資料安全的急迫問題，以下介紹NAS勒索病毒的資安防範措施。
 

• 措施1：企業資安教育訓練
  每位員工都應該接受NAS勒索病毒的教育訓練，包含資安風險認識和防範意識，可以有效識別可疑郵件、附件、連結等，提高他們對NAS勒索病毒和其他網路威脅的防範能力。
   
• 措施2：強化網路安全和密碼保護
  公司內部實施嚴格的網路安全，例如：設置防火牆、防毒軟體、不明登入通報系統...等，同時各個使用者建立高強度密碼並定期變更，這樣可以保障網路設備和使用者帳戶的安全性。
   
• 措施3：資料定期備份
  每個使用者建立定期備份資料的流程，建議將重要的資料備份在離線裝置，例如：外接硬碟、USB隨身碟，這樣可以防止資料被NAS勒索病毒加密或隱藏時無法恢復的問題，有異地備援就可以快速恢復遭到NAS勒索病毒加密的資料，如果想了解資料備份的方法，請參考這篇《資料備份全攻略：認識5個備份方法與觀念》。
   
• 措施4：設定使用者的存取權限
  根據每位不同的使用者建立適當的存取權限，限制使用者對NAS其他共享資料夾讀取權限，降低所有資料被NAS勒索病毒感染的風險，這樣即使遭到NAS勒索病毒攻擊，也不至於所有資料遭到加密，能最大程度減少損失。
   
• 措施5：更新NAS系統並監控
  公司的NAS管理員可以定期更新NAS系統更新和安全漏洞，建議定期監控系統運作和傳輸流量，可以發現可疑活動並立即解決安全問題。

(可以安裝網路防火牆，加強NAS的資安保障)
 

NAS勒索病毒的資料救援

公司重要的NAS遭到勒索病毒攻擊嗎？發生檔案被加密或被隱藏的情況，睿卡科技曾有破解成功的經驗，若有這類問題，建議立即關閉網路，都還有機會可以恢復，我們提供NAS勒索病毒救援的服務流程。

⒈檢測NAS勒索病毒的硬碟

我們提供總公司現場送件與《免運費快遞到府取件》的服務，工程師團隊收到NAS後，檢測時間約1-2天，由專業工程師親自說明救援機會和救援費用。
 
⒉NAS勒索病毒救援報價和救援機會

專業工程師檢測NAS完成，說明NAS的救援機會：
 

• 資料救援的報價費用
• 預估所需的工作時間
• 同意報價後我們立即執行救援作業

 
⒊NAS勒索病毒資料救援作業

工程師團隊定期回覆救援的進度，並於完成救援後立即通知，如果我們沒有成功救出資料則不會收取救援費，給予客戶最大的保障，讓客戶不會有白花錢的風險。
 
⒋驗收NAS救出的資料

專業工程師救援完成後，與使用者約定時間驗收檔案，親自確認檔案是否正常與是否有救出重要的資料，最後確認無問題才會收取救援費並交付資料。