全球的西部數據(WD)My Book NAS用戶發現他們的設備被神秘地擦除(被執行恢復出廠設置并刪除了所有文件)。

WD My Book是一種網絡連接的存儲設備，它體積很小，看上去就像一本立在辦公桌上的書。WD My Book Live應用程序允許用戶遠程訪問他們的文件和管理他們的NAS設備，即使該NAS設備位于防火墻或路由器之后。

上周，全球的WD My Book用戶突然發現他們的所有文件都被神秘刪除了，而且無法再通過瀏覽器或應用程序登錄設備。

當他們嘗試通過Web儀表板登錄時，設備聲明他們的密碼“無效”。

“我有一臺WD My Book實時連接到我的家庭局域網并且正常使用了多年。我剛剛發現不知何故今天它上面的所有數據都消失了，目錄都在但文件都不見了。之前我的2T卷幾乎已滿，但現在它幾乎是個空盤。更奇怪的是，當我嘗試登錄控制UI進行診斷時，我只能使用‘用戶密碼’的輸入框進入此登錄頁面。”WD My Book用戶在西部數據社區論壇上說道。

My Book設備接到恢復出廠設置的神秘遠程命令

越來越多的My Book用戶確認他們的設備遇到了同樣的問題。MyBook日志顯示這些設備都收到了一個遠程命令，要求從昨天下午3點左右開始執行恢復出廠設置，一直持續到晚上。

與通常連接到互聯網并受到QLocker Ransomware等攻擊的QNAP設備不同，西部數據My Book設備置于在防火墻后面，并通過My Book Live云服務器進行通信以提供遠程訪問。

一個遠程代碼執行漏洞

一些用戶表示擔心西部數據的服務器被黑客入侵，向連接到該服務的所有設備推送遠程恢復出廠設置命令。

如果是黑客在“清空”全球的My Book設備，那么蹊蹺的是，沒有人報告贖金勒索或其他威脅，這意味著這次黑客攻擊是一個純粹的破壞性活動。

一些受此攻擊影響的用戶報告說使用PhotoRec文件恢復工具成功恢復了他們的一些文件，但其他用戶并沒有那么幸運。

在最新的公告中，西部數據確認了惡意軟件是數據擦除的原因：

“Western Digital已確定某些My Book Live設備受到惡意軟件的攻擊。在某些情況下，這種攻擊會導致恢復出廠設置，似乎會擦除設備上的所有數據。”

對于WD My Book Look NAS設備的用戶，西部數據強烈建議斷開設備與互聯網的連接。

“此時，我們建議您斷開My Book Live和My Book Live Duo與互聯網的連接，以保護您在設備上的數據。”西部數據在一份公告中表示。

據悉，My Book Live設備收到的最后一次固件更新在2015年。

此后，一個編號CVE-2018-18472的遠程代碼執行漏洞與公開的概念驗證漏洞一起被披露。攻擊者對互聯網進行了大規模掃描以查找易受攻擊的設備，并利用此漏洞發出恢復出廠設置的命令。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文