• 發布單位:TWCERT/CC
• 更新日期:2022-01-24
• 點閱次數:273

去年曾針對台灣網路儲存大廠 QNAP 各型網路儲存裝（Network Attached Storage,  NAS） 裝置，發動大規模攻擊的 Qlocker 勒贖軟體，近期據報又開始進行世界性的攻擊。

據資安專業媒體 BleepingComputer 報導指出，該媒體是在今（2022）年 1 月 6 日起觀測到 Qlocker 再次開始攻擊行為；受到攻擊的 QNAP NAS 裝置，如同去年的攻擊行動，裝置內儲存的檔案，會遭到駭侵者以 .7z 壓縮軟體加密壓縮，且每個資料夾內都會被新增一個 !!!READ_ME.txt 勒贖信檔案，表示受害者所有的檔案均已遭加密。

勒贖信中也要脅，受害者若不到指定的 Tor 暗網網址 gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion 中，依指示支付 0.02 到 0.03 枚比特幣的贖金，就無法取得解密用的密碼。

BleepingComputer 統計指出，去年 Qlocker 發動的攻擊中，一個月內就取得超過 35 萬美元的不法獲利；當時的贖款是 0.01 比特幣，依當時幣價約為 500 美元。

據 QNAP 針對 Qlocker 新攻勢發布的資安通報指出，未感染的用戶，應立即使用內建的 Security Conselor 檢查 NAS 裝置是否曝露於外網，如檢查結果出現「The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP」的文字，表示該裝置可由外網直接透過未加密的 http 連線連入，風險較高，應儘速依該通報指示，關閉路由器的 Port Forwarding 功能，關閉對外的 Port 80 與 443，並且關閉 NAS 的 UPnP 功能，並升級至最新版作業系統與應用程式，以避免外網直接連入。

QNAP 也提醒用戶，QNAP 確認惡意程式使用近期已修補的漏洞進行攻擊，建議各位用戶盡快進行更新。