中國人怕鬼，西洋人也怕鬼，所以到了中國農曆七月鬼門開，也就是鬼月的日子，凡事最好還是小心一點，不要不信邪。今年鬼月，是從2014/07/27(日)鬼門開，2014/08/10(日)中元普渡，2014/08/22(日)鬼門關。今年的鬼月，就連資訊界也出了大事，竟有駭客針對知名NAS廠商的產品，去挖掘漏洞，進行大規模攻擊，這家廠商是NAS業界的台灣之光，中文品牌為「群暉科技」，英文品牌為「Synology」。而這次，群暉NAS爆史上最嚴重漏洞，才會讓有心人士有機可趁，年初才爆挾持挖礦，鬼月又出脅迫逼付贖金，實在太令人震撼！而這邊，PCDIY!也替玩家與專業用戶展開追蹤，一起來了解整件事件的始末，並找來原廠來深入了解，提供給大家正確的解決之道！

這次駭客的功夫高強，有使用NAS的都要提高警覺！

由於，鎖定Synology NAS做攻擊，進而挾持挖礦，再有脅迫逼付贖金，這一整個事件，讓人感覺就不單純，更可以說這次駭客的功夫高強。不過，這次發生這回，事發在鬼月，竟要求使用Bitcoin交付贖金，而且，手法異常高明，高招強到連NAS業界都震驚，就連資安業界也覺得不可思議，而且，這回群暉的NAS被綁票！竟然，首度出現，要用匿蹤的Tor洋蔥瀏覽器和歹徒打交道，還指定要用無法追蹤的Bitcoin比特幣交付贖金。




這一切的高科技脅迫逼付贖金的技術，實在令人匪夷所思。更可以確定，疑似有藏鏡人，而且，還真的是集高科技功夫於一身的大內高手。也因為這整件事情實在太詭異了，包括NAS業界、資安業界，就連網通業界，已經成為重大議題。

NAS市場競爭激烈

NAS，是Network Attached Storage的縮寫，中文叫網路附加儲存，也有人叫網路硬碟、網路多媒體伺服器、家庭儲存伺服器，在雲端火紅之後，也有人說是家庭雲伺服器、家庭雲系統。也由於雲端應用的白熱化，數位家庭與數位辦公室的興起，加上物聯網熱潮，NAS的地位越來越重要，聲勢可以說是如日中天，再來實在太好賺了，家用市場原本只有Synology（群暉）、QNAP（威聯通）、BUFFALO（巴比祿）、Thecus（宏普科技），後來ASUS子公司asustor（華芸）也介入，還有一家AKITIO（艾客優品）也加入戰局，硬碟廠商也趁勢介入，WD、Seagate也進軍NAS市場，網通業者，像是D-Link（友訊）也一直在這塊積極努力，當然，還有只做中小企業市場的，台灣就有Promise（喬鼎資訊），中小企業市場更是高手如雲，還有HP（惠普）、DELL（戴爾）、IBM（國際事務機器），國外還有TRENDnet、SENDA、StarTech.Com、SANS DIGITAL，其實，之前還有很多台灣廠商介入NAS市場，但後來都不了了之。

Synology NAS年初才爆挾持挖礦

在今年年初的時候，陸續有好幾個網友，說他的NAS被駭了，起初還沒人信，被罵危言聳聽，後來確認是真的被駭。被駭的NAS，是Synology的，由於玩家發現，NAS異常變慢，而且燈號狂閃個不停，顯示正在處理密集工作，有的玩家是發現，NAS無法正常登入管理程式頁面，或者登入之後，出現被駭客攻破的畫面，有的用戶，則是發現NAS異常變慢，進入NAS的管理程式，在Synology的DSM軟體，發現CPU使用率持續維持在高檔，甚至是一直跑在90～100%，也因此讀寫效能變慢，進不去管理程式頁面。再來，進入程序檢查，發現有個應用程式的CPU使用率非常高，記憶體用量也非常大，最終發現，這是被駭客植入挖礦程式，當NAS開機24小時，每天不關機，就等於一週七天，每天24小時在幫駭客挖礦，而且是用你家的電，把你的NAS操到掛，最後等同是當免費的奴隸，幫駭客免費做廉價勞工，而且挖到的Bitcoin，駭客自己放到口袋裡，被駭的玩家則什麼都沒有。





最終，2014年2月14日，Synology發表4.3-3827更新，解決了CVE-2013-6955與CVE-2013-6987的系統漏洞，後來，這樣被駭的狀況才開始減少，不過，仍有不少NAS用戶，由於本身電腦知識不足，也沒有資訊安全的概念，買來了NAS，就一直24x7不停的在工作，由於從未更新過，所以早就被駭了還不知道，正持續努力不停的幫駭客挖礦。

Synology NAS鬼月又出脅迫逼付贖金！

今年鬼月，是從2014/07/27(日)鬼門開，在鬼門開之後，也開始出現了一連串重大資安事件。這次，又是Synology，前幾天，陸續開始有玩家與專業用戶，開始發現自己的Synology NAS異常，由於無法正常存取，只好進入管理程式頁面，不進去而已，進去之後，可嚇一大跳，竟然出現SynoLocker的標記，說你的NAS已經被駭，而且，你的資料已經被加密，無法正常讀取或寫入，並且開始倒數計時，等於是脅迫逼付贖金，而且，若你不肯付款，取得金鑰來解碼的話，倒數計時完之後，有可能就會把你的NAS裡的資料給殺光，屆時恐怕再給錢也沒用。



---------------------------------------------------------------------

SynoLocker駭客官方資訊：（英翻中）

---------------------------------------------------------------------

原文：SynoLocker™

翻譯：SynoLocker™：駭客自己發明針對Snology NAS的鎖機程式，叫Synolocker

-------------------------

原文：Automated Decryption Service

翻譯：自動解密服務

-------------------------

原文：All important files on this NAS have been encrypted using strong cryptography

翻譯：所有關於這個NAS的重要文件，使用強大的加密已加密

-------------------------

原文：List of encrypted files available here.

翻譯：可以在這裡找到加密的文件列表

-------------------------

原文：Follow these simple steps if files recovery is needed:

翻譯：按照簡單的步驟合成的文件，如果需要恢復

-------------------------

原文：1. Download and install Tor Browser.

翻譯：第一，下載並安裝Tor瀏覽器

-------------------------

原文：2. Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.

翻譯：第二，打開Tor瀏覽器，並訪問http：//cypherxffttr7hho.onion。此鏈接僅適用於Tor瀏覽器

-------------------------

原文：3. Login with your identification code to get further instructions on how to get a decryption key.

翻譯：第三，登錄您的識別碼，以獲取有關如何獲得解密密鑰進一步的說明

-------------------------

原文：4. Your identification code is - (also visible here).

翻譯：第四，您的識別碼為- 。（即可見光這裡）

-------------------------

原文：5. Follow the instructions on the decryption page once a valid decryption key has been acquired.

翻譯：第5，按照一次有效的解密密鑰已被收購的解密頁面上的說明進行操作

-------------------------

原文：Technical details about the encryption process:

翻譯：有關加密過程的技術細節

-------------------------

原文：A unique RSA-2048 keypair is generated on a remote server and linked to this system.

翻譯：在遠程服務器上生成並鏈接到該系統的獨特的RSA 2048密鑰對

-------------------------

原文：The RSA-2048 public key is sent to this system while the private key stays in the remote server database.

翻譯：在RSA-2048公鑰發送到這個系統中，而私鑰停留在遠程服務器上的數據庫

-------------------------

原文：A random 256-bit key is generated on this system when a new file needs to be encrypted.

翻譯：一個隨機的256位密鑰在此系統上時產生一個新的文件需要加密

-------------------------

原文：This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.

翻譯：這256位密鑰，然後用該文件進行加密AES-256 CBC對稱密碼

-------------------------

原文：The 256-bit key is then encrypted with the RSA-2048 public key.

翻譯：該256位的密鑰進行加密與RSA-2048的公共密鑰

-------------------------

原文：The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.

翻譯：產生的加密的256位密鑰被存儲在加密文件中，並從系統存儲器中清除

-------------------------

原文：The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.

原始未加密文件隨機比特從硬盤中刪除之前，然後overwrited

-------------------------

原文：The encrypted file is renamed to the original filename.

加密的文件重命名為原來的文件名

-------------------------

原文：To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.

翻譯：要解密的文件，軟件需要歸因於該系統從遠程服務器的RSA-2048的私鑰

-------------------------

原文：Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.

翻譯：一旦一個有效的解密密鑰提供，為每個軟件文件搜索存儲在加密文件中的所有特定的字符串

-------------------------

原文：When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

翻譯：當串中發現，該軟件提取並解密還原文件所需的獨特的256位AES密鑰

-------------------------

原文：Note: Without the decryption key, all encrypted files will be lost forever.

翻譯：音樂：沒有解密密鑰，所有加密的文件將永遠失去

-------------------------

原文：Copyright © 2014 SynoLocker™ All Rights Reserved.

翻譯：版權所有2014年SynoLocker™保留所有權利。

---------------------------------------------------------------------

繳交Bitcoin，才能拿到金鑰救NAS

這次，鬼月綁架Synology NAS的駭客更加厲害，脅迫逼付贖金，竟然還大剌剌的寫說，它的SynoLocker是有技術的，而且後面還有一個TM字樣，意思是說駭客已經申請商標之中，而且，駭客還要用戶下載Tor瀏覽器，這俗稱洋蔥瀏覽器，目前最新版是v3.6.3，這是美國海軍贊助鎖建立的匿名網路瀏覽器，可不被監控抓到是從哪裡來的，去了哪個地方看了什麼東西，更誇張的是，駭客竟然已經使用了Tor洋蔥瀏覽器，很顯然的是專家，除了逼付贖金之外，還採用匿名的Bitcoin，比特幣容易變現，又能轉來轉去，使用在洗錢與黑市，可說無往不利。

贖金：比特幣0.6元＝美金401.97元＝台幣12078元

而這次，要付出Bitcoin，駭客竟然還做了說明，可以去Coinbase、Coinmama、Kraken、BitBrothers LLC、Asia Nexgen (ANX)或Local Bitcoins來買比特幣付贖金，現時比特幣與美金的比值，報價是1元比特幣換669.95元美金，1元比特幣現實約等於台幣20129元，贖金是0.6元Bitcoin的話，贖金等同是美金401.97元，最終贖金等同是台幣12078元。要特別注意的是，駭客這次的脅迫逼付贖金當成遊戲，時間到之後，贖金會變為2倍，也就是贖金會越來越貴！

中獎的解決方法

目前，若你使用Synology NAS，又中獎被綁架，等於是被SynoLocker脅迫逼付贖金的話，目前可以說是無解，由於Synology NAS出的漏洞，讓駭客有機可趁，因此，透過駭客技術，破解進入NAS，把裡面儲存的資料，使用了強大的2048位元加密技術，將整顆硬碟資料進行了加密，它給你了公開金鑰，而解碼的私密金鑰則要付錢來取得，還要用Tor洋蔥瀏覽器，到特定的網址，才能用Bitcoin來交付贖金，如此，駭客才會給你真正用於解碼的私密金鑰，而且，由於是採用了2048位元加密，因此，完全沒有辦法來破解，以現今的電腦，或者超級電腦根本無解，得要花上很久的時間，才有辦法來破解，除非使用量子電腦，目前全世界只有加拿大的D-Wave Two可以在短時間內破解RSA-2048，也就是只有用上量子運算，才有辦法在短時間內破解2048位元加密，並進行解密，問題是這台量子電腦，目前只有NSA、Google等公司有購買，還在研發、軍用、科學用途，報價美金1000萬元，似乎沒有那麼重要的資料，需要用上這台電子電腦來解碼。而且，贖金，現時也才比特幣0.6元，等同美金401.97元，也等同台幣12078元。

避免被駭的解決方案

今年到現在也才進入8月份，等於總共才過了7個月，NAS世界就很不安寧，一下子爆挾持挖礦，一下子又脅迫逼付贖金，難免讓人很不放心。事實上，要這麼容易被駭，還真的不簡單，還且駭客還要付贖金才願意放手，這的確相當少見。而要避免被駭的解決方案，目前，除了要記得時常更新NAS的系統，在漏洞被發現的同時，就要趕快進行更新，此外要時常要更換密碼，而且，沒事不要亂開放權限，如果沒有必要的話，不要打開家庭雲功能，不要對外的話，就比較不會遇到被駭的事情發生，不過，NAS最好用的地方，就是家庭雲，提供家庭資料的存取、備份，把照片、影片給進行儲存，家庭雲功能關掉的話，NAS等同是人斷了2隻手或2隻腳，所以，除非把對外網路關掉，整個網路線拉掉，否則，終究有一天會遇到的。根據Synology原廠向PCDIY!表示：『此次事件中的安全性漏洞已在 2013 年 12 月修復 (DSM 4.3-3810 更新 3 版本)，所以有持續更新至最新版本的用戶都沒有此安全性漏洞的疑慮。截至目前為止，DSM 5.0 也沒有此安全性漏洞。 Synology提供多樣的機制來提升系統安全性，例如透過自動封鎖限制可疑的 IP 位址、透過兩步驟驗證保護帳號，所以Synology NAS 安全性是受到良好保護的。』按照廠商說法，只要升級到最新版韌體即可修復漏洞，所以如果你的韌體還是舊版，請記得趕快更新。

駭客為什麼釘上你？

看到這邊，相信大家一定有個疑問，為什麼駭客會釘上你？簡單來說，駭客是不掌眼睛的，到處惡搞、破壞，現在則進一步改成以勒索金錢為主。不過，根據對於駭客組織的了解，駭客也在比賽，比誰駭的多網站，甚至，以d3b~x這客駭客組織，竟然還有官網，這個駭客組織，之前也針對Synology NAS攻擊過，他們是個龐大的組織，竟然還有在比誰駭的網站多，並且把駭過的網站列表，還有列出是哪個國家，還要抓圖，有圖有真相，才能說明自己才是最強的。現在的NAS廠商，為了降低成本，都用Linux作業系統，不過，Linux跟Windows一樣，都是有很多漏洞的，如同，Microsoft一直在做更新，不管是安全性更新，系統性更新，為了都是要達到資訊安全，也因此，NAS也得持續更新，來牌除臭蟲，把已知的漏洞給關閉，或者避開，否則，就有可能被有心的駭客來入侵，而現在，駭客不像以前只是好玩，攻破網站而已，都改成是要以勒所金錢為目標，因此，只要有用NAS的，只要有架站的，不管是使用哪一個牌子的NAS，架什麼網站，都要格外小心謹慎，以免被駭。不過，這次新出來的SynoLocker，它的來意更可怕，就是要錢的，給Bitcoin付贖金的話，就給你解碼，否則經過RSA-2048的2048位元加密之後，不給錢，恐怕資料就要從此人間蒸發了！

解決方法：除了持續更新，拔掉對外網路線，買第二台備份是終極方案

在這次的Synology NAS年初才爆挾持挖礦，鬼月又出脅迫逼付贖金，整個Synology NAS接連被駭之後，玩家與專業用戶圈也做了深入的討論，包括NAS廠商，包括這次事主Synology也很緊張，就連其他NAS業者也紛紛來關切，可以說，解決方法，除了要時常更新NAS系統之外，保持系統在最新狀態，拔掉對外網路線，關閉家庭雲，NAS不要對外，是徹底解決方法，不過，這樣等於NAS就沒用了，最終，又有玩家與專業用戶提出看法，沒錯，NAS還是要繼續開，不過，不怕你來駭，駭客盡管放馬過來，因為，買第二台NAS來備份，第一台NAS對外有接網際網路，第二台NAS只接區域網路，專門用來備份第一台NAS，厲害吧？不過，花的錢更多了，真的是有錢人的玩具呀！

廠商資訊（Synology Taiwan聯繫方式）

廠商名稱：群暉科技股份有限公司
廠商電話：02-2552-5900，02-2552-1814（聯絡時間：AM 09:00～PM 18:00）
廠商網址：www.synology.com/
廠商臉書：www.facebook.com/SynologyTaiwan
廠商論壇：forum.synology.com/

P.S.若真的遇到駭客攻擊，或擔心自己的Synology NAS被駭、出了問題，不知道怎麼處理與操作的話，請勿任意操作或付款了事，可以請求原廠火力支援，直接打電話向群暉科技做進一步的了解！

----------------------

更新1（2014/08/06 PM14:00）

針對SynoLocker事件，Synology群暉科技原廠，這邊也向PCDIY!讀者，發表了官方聲明，以下是其聲明內容：

各位 Synology NAS 用戶：,

我們已確定勒索軟體 “SynoLocker”會攻擊安裝某些舊版本 DSM 的 Synology NAS 伺服器。

我們正盡全力在調查此事件並研擬可行的解決方法。根據目前觀察，這個惡意軟體是透過舊版本 DSM 的安全性漏洞（DSM 4.3-3810 或更舊的版本）影響 Synology NAS 伺服器，此安全性漏洞已於 2013年12月被修復。截至目前為止，我們尚未發現 DSM 5.0 有此安全性漏洞。

對於使用 DSM 4.3-3810 或更舊版本的 Synology NAS 用戶，並且已經遇到以下異常狀況，我們建議您立即關閉 Synology NAS 並與我們的技術支援團隊聯繫：https://myds.synology.com/support/support_form.php

* 當您嘗試登入 DSM 時，畫面顯示您的資料已經被加密，並且需要付費才能解除加密。
* 在資源監控中心發現 “synosync” 程序正在運行。
* 您的 DSM 版本還停留在 DSM 4.3-3810 或更舊的版本，但是 控制台裡 > 系統更新 卻顯示您已安裝最新版本。

針對尚未遇到上述情況的用戶，我們強烈建議您下載並安裝 DSM 5.0 或是以下任一版本：
* DSM 4.3 的用戶，請安裝 DSM 4.3-3827 或更新的版本
* DSM 4.1 或 DSM 4.2 的用戶，請安裝 DSM 4.2-3243 或更新的版本
* DSM 4.0 的用戶，請安裝 DSM 4.0-2259 或更新的版本

更新 DSM，請至：控制台 > 系統更新。用戶也可以於下載中心手動下載和安裝最新版本：www.synology.com/support/download。
如果用戶發現任何異常行為或是認為 Synology NAS 已經遭受攻擊，請與我們聯絡：security@synology.com。
對於此事件所造成的任何問題或不便之處，我們深感抱歉。我們將會持續向您更新事件的最新資訊。

Synology 全體團隊 敬上

----------------------

更新2（2014/08/06 PM18:00）

由於Synology NAS，在香港地區有非常高的市佔率，因此，香港各大論壇，這幾天都瘋狂討論NAS被駭的狀況，可以說這次有不少受災戶，是香港地區的朋友。晚間，香港中文大學醫學院相關人士，就有人來詢問，是否知道怎麼把中了SynoLocker脅迫逼付贖金狀況給排除。





目前已經得知，香港中文大學醫學院官方，有2台伺服器也遭到綁票，據悉就是使用Synology NAS來架站，由於已經被駭客給攻破，進而遭到鎖碼，變成跟iPhone死機一樣的白方塊、黑方塊狀況，該校目前已經向香港警方報案，並通報香港醫管局，由於裡面有一萬多名香港人的個人資料，包括就醫記錄，也因此令人非常擔心，深怕若不付款的話，駭客是否有可能，進一步洩漏個資來進行報復，香港警方已經介入調查。由於遲遲無解，無法進行解碼，來回復原先的醫院病歷以及個人資料，因此才透過關係聯繫台灣PCDIY!，目前已經轉介Synology Taiwan聯繫資料，並請相關人士直接跟台灣群暉或香港代理商聯繫，嘗試來解決SynoLocker鎖碼破解，並進行解碼拿回原始資料。若無法排除，恐怕也只能按照歹徒指示，使用匿蹤的Tor洋蔥瀏覽器，與使用無法追蹤的Bitcoin比特幣來交付贖金，以換得拿回原始資料。


----------------------

更新3（2014/08/10 PM18:00）

目前為止，SynoLocker災情越來越嚴重，不少受到災害的用戶，紛紛到群暉臉書專頁（http://https://www.facebook.com/SynologyTaiwan）去抗議，但遲遲得不道回應，發文在Synology的訊息，沒有獲得完善的回答，不少用戶感到憤怒！








----------------------

更新4（2014/08/24 PM18:00）

直到目前為止，SynoLocker災情，仍有許多Synylogy NAS用戶，到群暉臉書專頁（http://https://www.facebook.com/SynologyTaiwan）反應，但仍未獲得回答。


----------------------

更新5（2014/08/24 PM19:00）

Synology，在自家臉書專頁，終於講了真相。一旦被SynoLocker給鎖碼，資料等於被使用2048位元加密，若沒有備份的話，若重置NAS，將導致永遠無法救回資料了！


----------------------

→更多的【PCDIY!資訊安全世界】： 請見

→更多的【PCDIY!資訊安全專欄】： 請見

→更多的【PCDIY!八卦】： 請見

→更多的【PCDIY!軟體玩家】： 請見

→更多的【PCDIY!開箱文】： 請見

→更多的【PCDIY!玩家話題】： 請見

延伸閱讀

(01)防毒良藥》PC-cillin 2017雲端版守護電腦，趨勢科技行動安全防護App保障手機！
(02)原廠檔案都有木馬了，難怪怎樣玩都會被盜帳號！
(03)震撼！群暉NAS爆史上最嚴重漏洞》Synology NAS年初才爆挾持挖礦，鬼月又出脅迫逼付贖金
(04)震撼，被嫌史上最吵防毒軟體》業主請求協助刪除360安全衛士，以毒攻毒這哪招？
(05)硬碟故障資料救援報價3萬8 引爆網友熱議！
(06)趨勢PC-cillin 2017雲端版，防範勒索病毒的最佳良藥！
(07)英雄聯盟LoL病毒、流亡黯道PoE木馬的殺毒挑戰，30家防毒軟體業者掃描不出木馬病毒！
(08)跨平台新病毒傳染途徑更廣泛，使用PC-cillin 2017雲端版來全面防範！
(09)Cerber勒索病毒透過惡意廣告散播，台灣已成重災區
(10)震撼，Microsoft出包沒修好臭蟲又爆新災情》網友氣炸爆Windows Update比病毒還可怕，視窗更新一波未平一波又起！
(11)2016資安數字大盤點，使用PC-cillin 2017自我防護
(12)在出現勒索訊息之前，勒索病毒暗中做的四件事
(13)hao123也是寄生獸會綁架人腦 引爆網友熱議！
(14)勒索病毒肆虐，PC-cillin雲端版讓你遠離檔案危機
(15)震撼，Microsoft爆史上最嚴重出包》Windows Vista、7、8與8.1全中獎，安裝更新之後就得要修理或重灌！
(16)這隻皮卡丘抓不得》勒索病毒也搶搭寶可夢Pokemon GO抓寶熱潮，玩家必看的5個手機遊戲安全秘訣！
(17)謹防網路交易安全，搭配PC-cillin「密碼管理通」保障購物安全
(18)網拍陷阱多，看穿詐騙網站手段三秘訣
(19)震撼，史上最強病毒潛伏6年》Regin木馬程式暗中竊取機密資料，特工級瑞晶間諜軟體一度掃描不出來！
(20)帳號保護與社群防護須知，搭配趨勢PC-cillin「密碼管理通」與「社群網站防護」來保障您的數位隱私
(21)勒索病毒徹底防護大作戰》小心資料被綁架，安裝趨勢防毒軟體保平安
(22)防毒軟體殺很大》「趨勢科技PC-cillin 2016雲端版」價格砍到見骨，台幣200元有找真便宜！
(23)震撼，網友瘋傳Apple iCloud流出女星裸照、性愛影片》網友跪求下載點，880MB、150MB謎之壓縮檔案意外爆紅！
(24)105年報稅→104年度綜所稅，報稅五大須知，用PC-cillin 2016安全報稅
(25)老闆，我要買趨勢科技PC-cillin 2016雲端版！
(26)全新硬碟存有中國機密資料 網友警告：小心中南海殺手盯上！
(27)研發代號Win7 SP2》 最新的微軟Windows 7更新懶人包推出，系統更新一次搞定！
(28)趨勢科技PC-cillin 2016雲端版完整功能介紹與最佳化調校設定