华硕子公司ASUSTOR遭攻击，被勒索上千万元赎金

与上个月QNAP NAS 设备被勒索攻击相类似，近日华硕旗下子公司华芸科技（Asustor）的网络附加存储（NAS）也遭遇了勒索攻击。此次勒索攻击波及全球众多用户，并在ASUSTOR论坛上引起来广泛讨论。

两次攻击均是DeadBolt勒索软件所为，所有文件都被加了.deadbolt 文件扩展名。ASUSTOR 登录页面也被一张数据勒索通知代替，要求用户支0.03个比特币，折合人民币约七千多元，如下图所示：

目前，ASUSTOR尚未解释旗下的NAS设备是如何被加密的，但是一些用户认为，黑客是利用了PLEX 媒体服务器或 EZ Connect 中的某个漏洞加密了他们的NAS设备。

ASUSTOR 表示，针对此次勒索攻击事件，公司正在全力进行调查，并发布了说明：由于ASUSTOR NAS设备被Deadbolt勒索软件攻击，myasustor.com DDNS 服务将在问题调查期间被禁用。ASUSTOR也会第一时间公布事件的原因和后续调查的信息，确保用户NAS设备的安全，并将不遗余力解决被勒索攻击用户的问题。

为了更好地保护您的设备，ASUSTOR建议采取以下措施：

1、更改默认端口，包括默认的NAS Web 访问端口8000和8001，以及远程 Web 访问端口80和443；

2、禁用 EZ Connect；

3、关闭 Plex 端口并禁用 Plex；

4、做好文件/数据的备份工作；

5、关闭终端/SSH 和 SFTP 服务；

6、不要将ASUSTOR 设备暴露在互联网上，以免被 DeadBolt 加密。

ASUSTOR表示，如果设备已经被 DeadBolt 勒索软件感染，请强制关闭NAS 设备，并及时和ASUSTOR 技术人员联系，咨询如何恢复文件；禁止尝试重启设备，因为这会清除所有文件和数据。

截止到发稿，尚不清楚是否所有的ASUSTOR 设备都容易受到 DeadBolt 勒索软件攻击，但有报告显示 AS6602T、AS-6210T-4K、AS5304T、AS6102T 和 AS5304T 型号不受影响。不幸的是，由于无法免费恢复DeadBolt 勒索软件加密的文件，很多用户许多受影响的 QNAP 用户被迫支付赎金来恢复文件。

恢复固件即将发布

ASUSTOR在其发布的公告中写道，公司计划在2月23日发布恢复固件，让用户可以再次使用他们的 NAS 设备，但是已经被加密的文件和数据依旧无法恢复。更糟糕的是，即便用户支付了赎金，在恢复的过程中依旧可能无法恢复文件和数据，赎金记录页面和解密文件可能会被删除，这将给用户带来新的问题。

因此建议用户在运行恢复软件之前备份index.cgi和所有被DEADBOLT.html锁定的文件。这些文件包含支付赎金和接收解密密钥所需的信息，用户可以将其与 Emsisoft 的 DeadBolt 解密器一起使用。

支付赎金后，攻击者将创建一个比特币的交易，交易与支付赎金的比特币地址相同，其中包含受害者的解密密钥。解密密钥位于OP_RETURN输出下，如下所示：

比特币交易的 OP_RETURN 输出包含解密密钥

勒索上千万人民币的赎金

和上月针对QNAP设备的攻击类似，DeadBolt勒索组织正试图向ASUSTOR公司出售和本次勒索攻击有关的零日漏洞信息，以及所有受害者解密秘钥。

DeadBolt 赎金记录包含一个标题为“ASUSTOR 的重要消息”的链接，点击该链接后，将显示来自DeadBolt勒索软件的消息。

如果 ASUSTOR 支付 7.5个比特币，DeadBolt 攻击者将会出售所谓的零日漏洞的详细信息；

如果ASUSTOR 支付 50个比特币，那么DeadBolt 攻击者将会出售所有受害者的主解密秘钥和零日漏洞信息。这意味ASUSTOR将要承担本次勒索攻击的全部损失，约合人民币上千万元。

截止到目前ASUSTOR尚未表现出要支付这笔赎金，有专家表示ASUSTOR大概率不会支付赎金，因此如果你的设备被加密了，那么从备份中恢复或者支付0.03个比特币大概是比较有效的一个方法。

参考来源：https://www.bleepingcomputer.com/news/security/deadbolt-ransomware-now-targets-asustor-devices-asks-50-btc-for-master-key/