2022年的今天勒索病毒依旧频发,给各行各业带来了很大的影响。很多企业没有针对勒索病毒实施强有力的有效防范措施,可能只是对数据设置了备份保护,而没有进一步建立容灾。但一旦出现意外故障或大量文件被病毒加密,很难快速恢复数据,可能导致关键业务长时间停止,造成巨大损失。
一、如何判断群晖NAS是否中了勒索病毒
群晖NAS中了勒索病毒首先表现为NAS服务器上文件被加密、文档无法正常打开。例如:encrypt勒索病毒就是修改文件后缀为encrypt,并向受害者用户索要0.06个比特币(折合人民币4300元)作为解密文件的赎金。此病毒从2019年左右开始有相关预警。
勒索病毒攻击流程
通常对于群晖NAS的攻击流程主要是通过密码爆破来实现。
- 首先扫描公网IP上的5000及5001端口,查看是否有群晖系统。
- 之后用字典工具等对这些群晖站点实施密码爆破,通常利用常用的admin账号来进行爆破。
- 最后登陆群晖,植入病毒文件留下勒索信息。
二、群晖NAS中了勒索病毒如何找回数据
1、首先检查自己的群晖NAS是否开启了快照备份,打开Snapshot Replication,尝试恢复文件至中勒索病毒之前的版本,找回数据。
2、尝试联系数据救援公司,了解数据救援的业务是否合适。
三、如何防范群晖NAS再次中勒索病毒
1、在控制面板>用户帐号新增一组帐号且具管理员权限的帐号,并停用系统预设的admin帐号
2、使用强度较强的密码,并在控制面板>用户帐号>高级设置中启用密码强度限制规则
3、启用 2 步骤验证,强化帐号安全
4、在控制面板启用自动封锁,并且执行安全顾问,以避免系统使用安全等级较弱的密码
5、在控制面板中启用防火墙,只为必要的服务开启外部网络端口
此外群晖还强调,针对勒索病毒,也可以通过对文件的实时备份来避免因中招而丢失重要文件。如果你的文件经常会需要分享给NAS帐号以外的人员,建议在通过Drive分享文件时,设置访问密码、有效期等。
