與上個(gè)月QNAP NAS 設(shè)備被勒索攻擊相類(lèi)似，近日華碩旗下子公司華蕓科技(Asustor)的網(wǎng)絡(luò)附加存儲(chǔ)(NAS)也遭遇了勒索攻擊。此次勒索攻擊波及全球眾多用戶，并在ASUSTOR論壇上引起來(lái)廣泛討論。

兩次攻擊均是DeadBolt勒索軟件所為，所有文件都被加了.deadbolt 文件擴(kuò)展名。ASUSTOR 登錄頁(yè)面也被一張數(shù)據(jù)勒索通知代替，要求用戶支0.03個(gè)比特幣，折合人民幣約七千多元，如下圖所示：

目前，ASUSTOR尚未解釋旗下的NAS設(shè)備是如何被加密的，但是一些用戶認(rèn)為，黑客是利用了PLEX 媒體服務(wù)器或 EZ Connect 中的某個(gè)漏洞加密了他們的NAS設(shè)備。

ASUSTOR 表示，針對(duì)此次勒索攻擊事件，公司正在全力進(jìn)行調(diào)查，并發(fā)布了說(shuō)明：由于ASUSTOR NAS設(shè)備被Deadbolt勒索軟件攻擊，myasustor.com DDNS 服務(wù)將在問(wèn)題調(diào)查期間被禁用。ASUSTOR也會(huì)第一時(shí)間公布事件的原因和后續(xù)調(diào)查的信息，確保用戶NAS設(shè)備的安全，并將不遺余力解決被勒索攻擊用戶的問(wèn)題。

為了更好地保護(hù)您的設(shè)備，ASUSTOR建議采取以下措施：

1. 更改默認(rèn)端口，包括默認(rèn)的NAS Web 訪問(wèn)端口8000和8001，以及遠(yuǎn)程 Web 訪問(wèn)端口80和443;
2. 禁用 EZ Connect;
3. 關(guān)閉 Plex 端口并禁用 Plex;
4. 做好文件/數(shù)據(jù)的備份工作;
5. 關(guān)閉終端/SSH 和 SFTP 服務(wù);
6. 不要將ASUSTOR 設(shè)備暴露在互聯(lián)網(wǎng)上，以免被 DeadBolt 加密。

ASUSTOR表示，如果設(shè)備已經(jīng)被 DeadBolt 勒索軟件感染，請(qǐng)強(qiáng)制關(guān)閉NAS 設(shè)備，并及時(shí)和ASUSTOR 技術(shù)人員聯(lián)系，咨詢?nèi)绾位謴?fù)文件;禁止嘗試重啟設(shè)備，因?yàn)檫@會(huì)清除所有文件和數(shù)據(jù)。

截止到發(fā)稿，尚不清楚是否所有的ASUSTOR 設(shè)備都容易受到 DeadBolt 勒索軟件攻擊，但有報(bào)告顯示 AS6602T、AS-6210T-4K、AS5304T、AS6102T 和 AS5304T 型號(hào)不受影響。不幸的是，由于無(wú)法免費(fèi)恢復(fù)DeadBolt 勒索軟件加密的文件，很多用戶許多受影響的 QNAP 用戶被迫支付贖金來(lái)恢復(fù)文件。

恢復(fù)固件即將發(fā)布

ASUSTOR在其發(fā)布的公告中寫(xiě)道，公司計(jì)劃在2月23日發(fā)布恢復(fù)固件，讓用戶可以再次使用他們的 NAS 設(shè)備，但是已經(jīng)被加密的文件和數(shù)據(jù)依舊無(wú)法恢復(fù)。更糟糕的是，即便用戶支付了贖金，在恢復(fù)的過(guò)程中依舊可能無(wú)法恢復(fù)文件和數(shù)據(jù)，贖金記錄頁(yè)面和解密文件可能會(huì)被刪除，這將給用戶帶來(lái)新的問(wèn)題。

因此建議用戶在運(yùn)行恢復(fù)軟件之前備份index.cgi和所有被DEADBOLT.html鎖定的文件。這些文件包含支付贖金和接收解密密鑰所需的信息，用戶可以將其與 Emsisoft 的 DeadBolt 解密器一起使用。

支付贖金后，攻擊者將創(chuàng)建一個(gè)比特幣的交易，交易與支付贖金的比特幣地址相同，其中包含受害者的解密密鑰。解密密鑰位于OP_RETURN輸出下，如下所示：

比特幣交易的 OP_RETURN 輸出包含解密密鑰

勒索上千萬(wàn)人民幣的贖金

和上月針對(duì)QNAP設(shè)備的攻擊類(lèi)似，DeadBolt勒索組織正試圖向ASUSTOR公司出售和本次勒索攻擊有關(guān)的零日漏洞信息，以及所有受害者解密秘鑰。

DeadBolt 贖金記錄包含一個(gè)標(biāo)題為“ASUSTOR 的重要消息”的鏈接，點(diǎn)擊該鏈接后，將顯示來(lái)自DeadBolt勒索軟件的消息。

如果 ASUSTOR 支付 7.5個(gè)比特幣，DeadBolt 攻擊者將會(huì)出售所謂的零日漏洞的詳細(xì)信息;

如果ASUSTOR 支付 50個(gè)比特幣，那么DeadBolt 攻擊者將會(huì)出售所有受害者的主解密秘鑰和零日漏洞信息。這意味ASUSTOR將要承擔(dān)本次勒索攻擊的全部損失，約合人民幣上千萬(wàn)元。

截止到目前ASUSTOR尚未表現(xiàn)出要支付這筆贖金，有專(zhuān)家表示ASUSTOR大概率不會(huì)支付贖金，因此如果你的設(shè)備被加密了，那么從備份中恢復(fù)或者支付0.03個(gè)比特幣大概是比較有效的一個(gè)方法。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/deadbolt-ransomware-now-targets-asustor-devices-asks-50-btc-for-master-key/