勒索軟體攻擊鎖定開啟SMB檔案分享服務的QNAP 網路硬碟
- 上版日期:2022-7-26
QNAP NAS (網路硬碟)近期遭受來自 Checkmate 勒索軟體的攻擊,針對暴露在Internet網路中並開啟 SMB 服務的 NAS 設備,透過字典檔破解較弱的密碼,並留下名為「!CHECKMATE_DECRYPTION_README」的勒索信。一旦遭受入侵,設備內的資料都被加密,並遭受勒索需支付贖金才能還原資料。
目前受害對象主要特徵為:
- 暴露在公開網路中並啟用了 SMB 服務的 QNAP NAS 設備
- 使用強度較低的密碼
建議措施:
- 使用強度高的密碼(英文、數字、特殊字元)。
- 使用VPN從外部連線存取。
- 透過啟用NAS「IP存取保護」,可以自動封鎖在特定時間內多次登入失敗的 IP,阻擋特定人士暴力破解密碼。
- 資料定期備份。
- 關閉不必要的服務協定(如SMB、SSH、Telnet等)。
- 啟用系統連線記錄,管理人員留意登入警訊。
- 啟用 NAS 通知功能,透過郵件或APP通知重要訊息。
- 開啟兩步驟驗證方式登入。
影響範圍:QNAP 系列 NAS 產品
