http://www.ithome.com.tw/news/89871
近日,勒索软件又出现新变种的SynoLocker,改锁定以网络储存硬盘NAS为勒索对象,台湾
群晖科技(Synology)旗下的NAS硬盘也深受其害,接连在国外出现多起赎金勒索案例,造
成Synology NAS用户硬盘重要档案文件加密无法开启。群晖官方也表示,昨日已接获使用
者通报,目前正在清查是否有产品漏洞,最快今日会有结果公布。
去年底一款勒索软件CryptoLocker大举入侵企业及个人电脑,悄悄地将受害者电脑里的档
案加密,让使用者无法开启档案,也没办法破解加密,借此勒索 300美元的解密赎金,现
在更出现新的勒索变种软件SynoLocker,锁定特定NAS网络储存硬盘,透过入侵加密,让硬
碟服务器无法工作,以此勒索赎金。
这个被称为Cryptolocker变种的SynoLocker勒索软件,近日专以台湾群晖科技(Synology)
,旗下的NAS网络储存硬盘为勒索攻击目标,除了在英文版Synology与德国Synology官方使
用者论坛,已经出现用户受害的案例外,在香港Hkepc使用者论坛上也有用户遭遇相同受害
情况。
一位Synology NAS用户于8月3日在英文版Synology使用者论坛留言表示,使用Synology
NAS硬盘遭受到SynoLocker勒索软件破解入侵,造成重要档案被加密无法开启。
而其中一名受害用户在英文版Synology使用者论坛上表示,当SynoLocker勒索软件入侵
Synology NAS硬盘后,会将存放NAS硬盘的重要档案文件通通加密,让使用者无法开启档案
,也没办法破解加密,而主要网络服务页面则是会出现勒索的讯息,并要求使用者必须要
先支付0.6比特币,大约是350美元的金额,才能按照教学步骤一一获得档案解锁。
当SynoLocker勒索软件入侵Synology NAS硬盘后,会在主要网络服务页面出现勒索讯息,
使用者必须按照步骤支付赎金后,方可将NAS硬盘内档案进行解密
甚至,SynoLocker也在其勒索讯息页面上,毫无法保留将其加密技术细节公布出来,并表
示其采用的加密技术,是利用远端服务器生成一组RSA- 2048密钥,并将公钥发送到该受骇
系统,而私钥保留在远端服务器的数据库中, 并以一个256位密钥,与AES-256 CBC对称加
密的文件进行加密。 SynoLocker也指出,此种加密技术唯一复原方式即是取得256位元
AES密钥,要是没有解密密钥,所有加密文件将会永远消失。
过去像是另一款勒索软件CryptoLocker的感染途径,主要透过典型社交工程来散播恶意程
式,像是钓鱼信件、聊天工具或恶意网站等。不过新出现的SynoLocker,目前尚不清楚是
透过哪一感染途径取得Synology NAS网络硬盘服务器控制权。
不过香港Hkepc使用者论坛也有用户表示,SynoLocker很有可能利用破解Synology NAS硬盘
的port漏洞,以此强行加密档案,因此,建议用户在确定感染途径前,可先行关闭通讯埠
转送(Port Forwarding),如:Port 5000、5001,或其它不需要使用的Port,以此降低
被骇客入侵勒索的风险。
目前受到勒索软件SynoLocker入侵的Synology NAS硬盘用户,仅能被动针对尚未被加密过
的重要硬盘档案先行移转备份,避免损害持续扩大,或是寻求Synology提供技术协助。
对此,群晖科技新闻联络人张翔宇则表示,昨日公司已接获使用者通报,目前该公司技术
支援团队正针对现有的Synology NAS硬盘产品,逐一清查是否有漏洞存在,最快今日会将
结果公布出来。