與上個月QNAP NAS 設備被勒索攻擊相類似，近日華碩旗下子公司華蕓科技(Asustor)的網絡附加存儲(NAS)也遭遇了勒索攻擊。此次勒索攻擊波及全球眾多用戶，并在ASUSTOR論壇上引起來廣泛討論。

兩次攻擊均是DeadBolt勒索軟件所為，所有文件都被加了.deadbolt 文件擴展名。ASUSTOR 登錄頁面也被一張數據勒索通知代替，要求用戶支0.03個比特幣，折合人民幣約七千多元，如下圖所示：

目前，ASUSTOR尚未解釋旗下的NAS設備是如何被加密的，但是一些用戶認為，黑客是利用了PLEX 媒體服務器或 EZ Connect 中的某個漏洞加密了他們的NAS設備。

ASUSTOR 表示，針對此次勒索攻擊事件，公司正在全力進行調查，并發(fā)布了說明：由于ASUSTOR NAS設備被Deadbolt勒索軟件攻擊，myasustor.com DDNS 服務將在問題調查期間被禁用。ASUSTOR也會第一時間公布事件的原因和后續(xù)調查的信息，確保用戶NAS設備的安全，并將不遺余力解決被勒索攻擊用戶的問題。

為了更好地保護您的設備，ASUSTOR建議采取以下措施：

1. 更改默認端口，包括默認的NAS Web 訪問端口8000和8001，以及遠程 Web 訪問端口80和443;
2. 禁用 EZ Connect;
3. 關閉 Plex 端口并禁用 Plex;
4. 做好文件/數據的備份工作;
5. 關閉終端/SSH 和 SFTP 服務;
6. 不要將ASUSTOR 設備暴露在互聯網上，以免被 DeadBolt 加密。

ASUSTOR表示，如果設備已經被 DeadBolt 勒索軟件感染，請強制關閉NAS 設備，并及時和ASUSTOR 技術人員聯系，咨詢如何恢復文件;禁止嘗試重啟設備，因為這會清除所有文件和數據。

截止到發(fā)稿，尚不清楚是否所有的ASUSTOR 設備都容易受到 DeadBolt 勒索軟件攻擊，但有報告顯示 AS6602T、AS-6210T-4K、AS5304T、AS6102T 和 AS5304T 型號不受影響。不幸的是，由于無法免費恢復DeadBolt 勒索軟件加密的文件，很多用戶許多受影響的 QNAP 用戶被迫支付贖金來恢復文件。

恢復固件即將發(fā)布

ASUSTOR在其發(fā)布的公告中寫道，公司計劃在2月23日發(fā)布恢復固件，讓用戶可以再次使用他們的 NAS 設備，但是已經被加密的文件和數據依舊無法恢復。更糟糕的是，即便用戶支付了贖金，在恢復的過程中依舊可能無法恢復文件和數據，贖金記錄頁面和解密文件可能會被刪除，這將給用戶帶來新的問題。

因此建議用戶在運行恢復軟件之前備份index.cgi和所有被DEADBOLT.html鎖定的文件。這些文件包含支付贖金和接收解密密鑰所需的信息，用戶可以將其與 Emsisoft 的 DeadBolt 解密器一起使用。

支付贖金后，攻擊者將創(chuàng)建一個比特幣的交易，交易與支付贖金的比特幣地址相同，其中包含受害者的解密密鑰。解密密鑰位于OP_RETURN輸出下，如下所示：

比特幣交易的 OP_RETURN 輸出包含解密密鑰

勒索上千萬人民幣的贖金

和上月針對QNAP設備的攻擊類似，DeadBolt勒索組織正試圖向ASUSTOR公司出售和本次勒索攻擊有關的零日漏洞信息，以及所有受害者解密秘鑰。

DeadBolt 贖金記錄包含一個標題為“ASUSTOR 的重要消息”的鏈接，點擊該鏈接后，將顯示來自DeadBolt勒索軟件的消息。

如果 ASUSTOR 支付 7.5個比特幣，DeadBolt 攻擊者將會出售所謂的零日漏洞的詳細信息;

如果ASUSTOR 支付 50個比特幣，那么DeadBolt 攻擊者將會出售所有受害者的主解密秘鑰和零日漏洞信息。這意味ASUSTOR將要承擔本次勒索攻擊的全部損失，約合人民幣上千萬元。

截止到目前ASUSTOR尚未表現出要支付這筆贖金，有專家表示ASUSTOR大概率不會支付贖金，因此如果你的設備被加密了，那么從備份中恢復或者支付0.03個比特幣大概是比較有效的一個方法。

參考來源：https://www.bleepingcomputer.com/news/security/deadbolt-ransomware-now-targets-asustor-devices-asks-50-btc-for-master-key/