震撼！群暉NAS爆史上最嚴重漏洞》Synology NAS年初才爆挾持挖礦，鬼月又出脅迫逼付贖金

中國人怕鬼，西洋人也怕鬼，所以到了中國農曆七月鬼門開，也就是鬼月的日子，凡事最好還是小心一點，不要不信邪。今年鬼月，是從2014/07/27(日)鬼門開，2014/08/10(日)中元普渡，2014/08/22(日)鬼門關。今年的鬼月，就連資訊界也出了大事，竟有駭客針對知名NAS廠商的產品，去挖掘漏洞，進行大規模攻擊，這家廠商是NAS業界的台灣之光，中文品牌為「群暉科技」，英文品牌為「Synology」。而這次，群暉NAS爆史上最嚴重漏洞，才會讓有心人士有機可趁，年初才爆挾持挖礦，鬼月又出脅迫逼付贖金，實在太令人震撼！而這邊，PCDIY!也替玩家與專業用戶展開追蹤，一起來了解整件事件的始末，並找來原廠來深入了解，提供給大家正確的解決之道！ 由於，鎖定Synology NAS做攻擊，進而挾持挖礦，再有脅迫逼付贖金，這一整個事件，讓人感覺就不單純，更可以說這次駭客的功夫高強。不過，這次發生這回，事發在鬼月，竟要求使用Bitcoin交付贖金，而且，手法異常高明，高招強到連NAS業界都震驚，就連資安業界也覺得不可思議，而且，這回群暉的NAS被綁票！竟然，首度出現，要用匿蹤的Tor洋蔥瀏覽器和歹徒打交道，還指定要用無法追蹤的Bitcoin比特幣交付贖金。 這一切的高科技脅迫逼付贖金的技術，實在令人匪夷所思。更可以確定，疑似有藏鏡人，而且，還真的是集高科技功夫於一身的大內高手。也因為這整件事情實在太詭異了，包括NAS業界、資安業界，就連網通業界，已經成為重大議題。 NAS，是Network Attached Storage的縮寫，中文叫網路附加儲存，也有人叫網路硬碟、網路多媒體伺服器、家庭儲存伺服器，在雲端火紅之後，也有人說是家庭雲伺服器、家庭雲系統。也由於雲端應用的白熱化，數位家庭與數位辦公室的興起，加上物聯網熱潮，NAS的地位越來越重要，聲勢可以說是如日中天，再來實在太好賺了，家用市場原本只有Synology（群暉）、QNAP（威聯通）、BUFFALO（巴比祿）、Thecus（宏普科技），後來ASUS子公司asustor（華芸）也介入，還有一家AKITIO（艾客優品）也加入戰局，硬碟廠商也趁勢介入，WD、Seagate也進軍NAS市場，網通業者，像是D-Link（友訊）也一直在這塊積極努力，當然，還有只做中小企業市場的，台灣就有Promise（喬鼎資訊），中小企業市場更是高手如雲，還有HP（惠普）、DELL（戴爾）、IBM（國際事務機器），國外還有TRENDnet、SENDA、StarTech.Com、SANS DIGITAL，其實，之前還有很多台灣廠商介入NAS市場，但後來都不了了之。 在今年年初的時候，陸續有好幾個網友，說他的NAS被駭了，起初還沒人信，被罵危言聳聽，後來確認是真的被駭。被駭的NAS，是Synology的，由於玩家發現，NAS異常變慢，而且燈號狂閃個不停，顯示正在處理密集工作，有的玩家是發現，NAS無法正常登入管理程式頁面，或者登入之後，出現被駭客攻破的畫面，有的用戶，則是發現NAS異常變慢，進入NAS的管理程式，在Synology的DSM軟體，發現CPU使用率持續維持在高檔，甚至是一直跑在90～100%，也因此讀寫效能變慢，進不去管理程式頁面。再來，進入程序檢查，發現有個應用程式的CPU使用率非常高，記憶體用量也非常大，最終發現，這是被駭客植入挖礦程式，當NAS開機24小時，每天不關機，就等於一週七天，每天24小時在幫駭客挖礦，而且是用你家的電，把你的NAS操到掛，最後等同是當免費的奴隸，幫駭客免費做廉價勞工，而且挖到的Bitcoin，駭客自己放到口袋裡，被駭的玩家則什麼都沒有。 最終，2014年2月14日，Synology發表4.3-3827更新，解決了CVE-2013-6955與CVE-2013-6987的系統漏洞，後來，這樣被駭的狀況才開始減少，不過，仍有不少NAS用戶，由於本身電腦知識不足，也沒有資訊安全的概念，買來了NAS，就一直24x7不停的在工作，由於從未更新過，所以早就被駭了還不知道，正持續努力不停的幫駭客挖礦。 今年鬼月，是從2014/07/27(日)鬼門開，在鬼門開之後，也開始出現了一連串重大資安事件。這次，又是Synology，前幾天，陸續開始有玩家與專業用戶，開始發現自己的Synology NAS異常，由於無法正常存取，只好進入管理程式頁面，不進去而已，進去之後，可嚇一大跳，竟然出現SynoLocker的標記，說你的NAS已經被駭，而且，你的資料已經被加密，無法正常讀取或寫入，並且開始倒數計時，等於是脅迫逼付贖金，而且，若你不肯付款，取得金鑰來解碼的話，倒數計時完之後，有可能就會把你的NAS裡的資料給殺光，屆時恐怕再給錢也沒用。 --------------------------------------------------------------------- --------------------------------------------------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- ------------------------- --------------------------------------------------------------------- 這次，鬼月綁架Synology NAS的駭客更加厲害，脅迫逼付贖金，竟然還大剌剌的寫說，它的SynoLocker是有技術的，而且後面還有一個TM字樣，意思是說駭客已經申請商標之中，而且，駭客還要用戶下載Tor瀏覽器，這俗稱洋蔥瀏覽器，目前最新版是v3.6.3，這是美國海軍贊助鎖建立的匿名網路瀏覽器，可不被監控抓到是從哪裡來的，去了哪個地方看了什麼東西，更誇張的是，駭客竟然已經使用了Tor洋蔥瀏覽器，很顯然的是專家，除了逼付贖金之外，還採用匿名的Bitcoin，比特幣容易變現，又能轉來轉去，使用在洗錢與黑市，可說無往不利。 而這次，要付出Bitcoin，駭客竟然還做了說明，可以去Coinbase、Coinmama、Kraken、BitBrothers LLC、Asia Nexgen (ANX)或Local Bitcoins來買比特幣付贖金，現時比特幣與美金的比值，報價是1元比特幣換669.95元美金，1元比特幣現實約等於台幣20129元，贖金是0.6元Bitcoin的話，贖金等同是美金401.97元，最終贖金等同是台幣12078元。要特別注意的是，駭客這次的脅迫逼付贖金當成遊戲，時間到之後，贖金會變為2倍，也就是贖金會越來越貴！ 目前，若你使用Synology NAS，又中獎被綁架，等於是被SynoLocker脅迫逼付贖金的話，目前可以說是無解，由於Synology NAS出的漏洞，讓駭客有機可趁，因此，透過駭客技術，破解進入NAS，把裡面儲存的資料，使用了強大的2048位元加密技術，將整顆硬碟資料進行了加密，它給你了公開金鑰，而解碼的私密金鑰則要付錢來取得，還要用Tor洋蔥瀏覽器，到特定的網址，才能用Bitcoin來交付贖金，如此，駭客才會給你真正用於解碼的私密金鑰，而且，由於是採用了2048位元加密，因此，完全沒有辦法來破解，以現今的電腦，或者超級電腦根本無解，得要花上很久的時間，才有辦法來破解，除非使用量子電腦，目前全世界只有加拿大的D-Wave Two可以在短時間內破解RSA-2048，也就是只有用上量子運算，才有辦法在短時間內破解2048位元加密，並進行解密，問題是這台量子電腦，目前只有NSA、Google等公司有購買，還在研發、軍用、科學用途，報價美金1000萬元，似乎沒有那麼重要的資料，需要用上這台電子電腦來解碼。而且，贖金，現時也才比特幣0.6元，等同美金401.97元，也等同台幣12078元。 今年到現在也才進入8月份，等於總共才過了7個月，NAS世界就很不安寧，一下子爆挾持挖礦，一下子又脅迫逼付贖金，難免讓人很不放心。事實上，要這麼容易被駭，還真的不簡單，還且駭客還要付贖金才願意放手，這的確相當少見。而要避免被駭的解決方案，目前，除了要記得時常更新NAS的系統，在漏洞被發現的同時，就要趕快進行更新，此外要時常要更換密碼，而且，沒事不要亂開放權限，如果沒有必要的話，不要打開家庭雲功能，不要對外的話，就比較不會遇到被駭的事情發生，不過，NAS最好用的地方，就是家庭雲，提供家庭資料的存取、備份，把照片、影片給進行儲存，家庭雲功能關掉的話，NAS等同是人斷了2隻手或2隻腳，所以，除非把對外網路關掉，整個網路線拉掉，否則，終究有一天會遇到的。根據Synology原廠向PCDIY!表示：『此次事件中的安全性漏洞已在 2013 年 12 月修復 (DSM 4.3-3810 更新 3 版本)，所以有持續更新至最新版本的用戶都沒有此安全性漏洞的疑慮。截至目前為止，DSM 5.0 也沒有此安全性漏洞。 Synology提供多樣的機制來提升系統安全性，例如透過自動封鎖限制可疑的 IP 位址、透過兩步驟驗證保護帳號，所以Synology NAS 安全性是受到良好保護的。』按照廠商說法，只要升級到最新版韌體即可修復漏洞，所以如果你的韌體還是舊版，請記得趕快更新。 看到這邊，相信大家一定有個疑問，為什麼駭客會釘上你？簡單來說，駭客是不掌眼睛的，到處惡搞、破壞，現在則進一步改成以勒索金錢為主。不過，根據對於駭客組織的了解，駭客也在比賽，比誰駭的多網站，甚至，以d3b~x這客駭客組織，竟然還有官網，這個駭客組織，之前也針對Synology NAS攻擊過，他們是個龐大的組織，竟然還有在比誰駭的網站多，並且把駭過的網站列表，還有列出是哪個國家，還要抓圖，有圖有真相，才能說明自己才是最強的。現在的NAS廠商，為了降低成本，都用Linux作業系統，不過，Linux跟Windows一樣，都是有很多漏洞的，如同，Microsoft一直在做更新，不管是安全性更新，系統性更新，為了都是要達到資訊安全，也因此，NAS也得持續更新，來牌除臭蟲，把已知的漏洞給關閉，或者避開，否則，就有可能被有心的駭客來入侵，而現在，駭客不像以前只是好玩，攻破網站而已，都改成是要以勒所金錢為目標，因此，只要有用NAS的，只要有架站的，不管是使用哪一個牌子的NAS，架什麼網站，都要格外小心謹慎，以免被駭。不過，這次新出來的SynoLocker，它的來意更可怕，就是要錢的，給Bitcoin付贖金的話，就給你解碼，否則經過RSA-2048的2048位元加密之後，不給錢，恐怕資料就要從此人間蒸發了！ 在這次的Synology NAS年初才爆挾持挖礦，鬼月又出脅迫逼付贖金，整個Synology NAS接連被駭之後，玩家與專業用戶圈也做了深入的討論，包括NAS廠商，包括這次事主Synology也很緊張，就連其他NAS業者也紛紛來關切，可以說，解決方法，除了要時常更新NAS系統之外，保持系統在最新狀態，拔掉對外網路線，關閉家庭雲，NAS不要對外，是徹底解決方法，不過，這樣等於NAS就沒用了，最終，又有玩家與專業用戶提出看法，沒錯，NAS還是要繼續開，不過，不怕你來駭，駭客盡管放馬過來，因為，買第二台NAS來備份，第一台NAS對外有接網際網路，第二台NAS只接區域網路，專門用來備份第一台NAS，厲害吧？不過，花的錢更多了，真的是有錢人的玩具呀！ 廠商名稱：群暉科技股份有限公司 廠商電話：02-2552-5900，02-2552-1814（聯絡時間：AM 09:00～PM 18:00） 廠商網址：www.synology.com/ 廠商臉書：www.facebook.com/SynologyTaiwan 廠商論壇：forum.synology.com/ ---------------------- 我們已確定勒索軟體 “SynoLocker”會攻擊安裝某些舊版本 DSM 的 Synology NAS 伺服器。 我們正盡全力在調查此事件並研擬可行的解決方法。根據目前觀察，這個惡意軟體是透過舊版本 DSM 的安全性漏洞（DSM 4.3-3810 或更舊的版本）影響 Synology NAS 伺服器，此安全性漏洞已於 2013年12月被修復。截至目前為止，我們尚未發現 DSM 5.0 有此安全性漏洞。 對於使用 DSM 4.3-3810 或更舊版本的 Synology NAS 用戶，並且已經遇到以下異常狀況，我們建議您立即關閉 Synology NAS 並與我們的技術支援團隊聯繫：https://myds.synology.com/support/support_form.php * 當您嘗試登入 DSM 時，畫面顯示您的資料已經被加密，並且需要付費才能解除加密。 * 在資源監控中心發現 “synosync” 程序正在運行。 * 您的 DSM 版本還停留在 DSM 4.3-3810 或更舊的版本，但是 控制台裡 > 系統更新 卻顯示您已安裝最新版本。 針對尚未遇到上述情況的用戶，我們強烈建議您下載並安裝 DSM 5.0 或是以下任一版本： * DSM 4.3 的用戶，請安裝 DSM 4.3-3827 或更新的版本 * DSM 4.1 或 DSM 4.2 的用戶，請安裝 DSM 4.2-3243 或更新的版本 * DSM 4.0 的用戶，請安裝 DSM 4.0-2259 或更新的版本 更新 DSM，請至：控制台 > 系統更新。用戶也可以於下載中心手動下載和安裝最新版本：www.synology.com/support/download。 如果用戶發現任何異常行為或是認為 Synology NAS 已經遭受攻擊，請與我們聯絡：security@synology.com。 對於此事件所造成的任何問題或不便之處，我們深感抱歉。我們將會持續向您更新事件的最新資訊。 ---------------------- 由於Synology NAS，在香港地區有非常高的市佔率，因此，香港各大論壇，這幾天都瘋狂討論NAS被駭的狀況，可以說這次有不少受災戶，是香港地區的朋友。晚間，香港中文大學醫學院相關人士，就有人來詢問，是否知道怎麼把中了SynoLocker脅迫逼付贖金狀況給排除。 目前已經得知，香港中文大學醫學院官方，有2台伺服器也遭到綁票，據悉就是使用Synology NAS來架站，由於已經被駭客給攻破，進而遭到鎖碼，變成跟iPhone死機一樣的白方塊、黑方塊狀況，該校目前已經向香港警方報案，並通報香港醫管局，由於裡面有一萬多名香港人的個人資料，包括就醫記錄，也因此令人非常擔心，深怕若不付款的話，駭客是否有可能，進一步洩漏個資來進行報復，香港警方已經介入調查。由於遲遲無解，無法進行解碼，來回復原先的醫院病歷以及個人資料，因此才透過關係聯繫台灣PCDIY!，目前已經轉介Synology Taiwan聯繫資料，並請相關人士直接跟台灣群暉或香港代理商聯繫，嘗試來解決SynoLocker鎖碼破解，並進行解碼拿回原始資料。若無法排除，恐怕也只能按照歹徒指示，使用匿蹤的Tor洋蔥瀏覽器，與使用無法追蹤的Bitcoin比特幣來交付贖金，以換得拿回原始資料。 ---------------------- 目前為止，SynoLocker災情越來越嚴重，不少受到災害的用戶，紛紛到群暉臉書專頁（http://https://www.facebook.com/SynologyTaiwan）去抗議，但遲遲得不道回應，發文在Synology的訊息，沒有獲得完善的回答，不少用戶感到憤怒！ ---------------------- 直到目前為止，SynoLocker災情，仍有許多Synylogy NAS用戶，到群暉臉書專頁（http://https://www.facebook.com/SynologyTaiwan）反應，但仍未獲得回答。 ---------------------- Synology，在自家臉書專頁，終於講了真相。一旦被SynoLocker給鎖碼，資料等於被使用2048位元加密，若沒有備份的話，若重置NAS，將導致永遠無法救回資料了！ ---------------------- →更多的【PCDIY! NAS／網路儲存裝置】： →更多的【PCDIY! 企業級網路設備 - Enterprise Network - 商用 - 路由器 / 無線路由器 / AP / 交換器 / IIoT / 防火牆】： →更多的【PCDIY! 家用網路設備 - Home Network - 路由器 / 電競 無線路由器 / AP / 交換器 / 網路卡 / 網路攝影機】： →更多的【PCDIY! 智慧家庭 SmartHome / 智慧辦公室 SmartOffice / 智慧攝影機 Smart Camera / 智慧門鎖 Smart Door Lock / 智慧門鈴 Smart Doorbell】： →更多的【PCDIY! Network Hardware / 網通設備 / 弱電工具 / 機櫃產品 / 機房世界】： →更多的【PCDIY! HDD / 機械硬碟 / 傳統硬碟】： →更多的【PCDIY! SSD / 固態硬碟】： →更多的【PCDIY! IT資訊新聞】：