http://www.ithome.com.tw/news/89871
近日,勒索軟體又出現新變種的SynoLocker,改鎖定以網路儲存硬碟NAS為勒索對象,臺灣
群暉科技(Synology)旗下的NAS硬碟也深受其害,接連在國外出現多起贖金勒索案例,造
成Synology NAS用戶硬碟重要檔案文件加密無法開啟。群暉官方也表示,昨日已接獲使用
者通報,目前正在清查是否有產品漏洞,最快今日會有結果公布。
去年底一款勒索軟體CryptoLocker大舉入侵企業及個人電腦,悄悄地將受害者電腦裏的檔
案加密,讓使用者無法開啟檔案,也沒辦法破解加密,藉此勒索 300美元的解密贖金,現
在更出現新的勒索變種軟體SynoLocker,鎖定特定NAS網路儲存硬碟,透過入侵加密,讓硬
碟伺服器無法工作,以此勒索贖金。
這個被稱為Cryptolocker變種的SynoLocker勒索軟體,近日專以臺灣群暉科技(Synology)
,旗下的NAS網路儲存硬碟為勒索攻擊目標,除了在英文版Synology與德國Synology官方使
用者論壇,已經出現用戶受害的案例外,在香港Hkepc使用者論壇上也有用戶遭遇相同受害
情況。
一位Synology NAS用戶於8月3日在英文版Synology使用者論壇留言表示,使用Synology
NAS硬碟遭受到SynoLocker勒索軟體破解入侵,造成重要檔案被加密無法開啟。
而其中一名受害用戶在英文版Synology使用者論壇上表示,當SynoLocker勒索軟體入侵
Synology NAS硬碟後,會將存放NAS硬碟的重要檔案文件通通加密,讓使用者無法開啟檔案
,也沒辦法破解加密,而主要網路服務頁面則是會出現勒索的訊息,並要求使用者必須要
先支付0.6比特幣,大約是350美元的金額,才能按照教學步驟一一獲得檔案解鎖。
當SynoLocker勒索軟體入侵Synology NAS硬碟後,會在主要網路服務頁面出現勒索訊息,
使用者必須按照步驟支付贖金後,方可將NAS硬碟內檔案進行解密
甚至,SynoLocker也在其勒索訊息頁面上,毫無法保留將其加密技術細節公布出來,並表
示其採用的加密技術,是利用遠端服務器生成一組RSA- 2048密鑰,並將公鑰發送到該受駭
系統,而私鑰保留在遠端服務器的數據庫中, 並以一個256位密鑰,與AES-256 CBC對稱加
密的文件進行加密。 SynoLocker也指出,此種加密技術唯一復原方式即是取得256位元
AES密鑰,要是沒有解密密鑰,所有加密文件將會永遠消失。
過去像是另一款勒索軟體CryptoLocker的感染途徑,主要透過典型社交工程來散播惡意程
式,像是釣魚信件、聊天工具或惡意網站等。不過新出現的SynoLocker,目前尚不清楚是
透過哪一感染途徑取得Synology NAS網路硬碟伺服器控制權。
不過香港Hkepc使用者論壇也有用戶表示,SynoLocker很有可能利用破解Synology NAS硬碟
的port漏洞,以此強行加密檔案,因此,建議用戶在確定感染途徑前,可先行關閉通訊埠
轉送(Port Forwarding),如:Port 5000、5001,或其它不需要使用的Port,以此降低
被駭客入侵勒索的風險。
目前受到勒索軟體SynoLocker入侵的Synology NAS硬碟用戶,僅能被動針對尚未被加密過
的重要硬碟檔案先行移轉備份,避免損害持續擴大,或是尋求Synology提供技術協助。
對此,群暉科技新聞聯絡人張翔宇則表示,昨日公司已接獲使用者通報,目前該公司技術
支援團隊正針對現有的Synology NAS硬碟產品,逐一清查是否有漏洞存在,最快今日會將
結果公布出來。