华硕子公司ASUSTOR遭到攻击,被勒索数千万元赎金的勒索攻击。勒索软件攻击波及全球众多用户,并在华芸论坛引起广泛讨论。两次攻击都是由DeadBolt勒索软件执行的,所有文件都被赋予了.deadbolt文件扩展名。ASUSTOR登录页面也换成了数据勒索通知,要求用户支付0.03比特币,折合人民币约7000元,如下图:认为黑客利用PLEXMediaServer或EZConnect中的漏洞来加密他们的NAS设备。华芸表示,公司正全力调查勒索软件攻击事件,并发表声明:因华芸NAS设备遭到Deadbolt勒索软件攻击,问题调查期间myasustor.comDDNS服务将被停用。ASUSTOR也将尽快公布事件原因及后续调查信息,确保用户NAS设备安全,并全力解决用户被勒索问题。为了更好地保护您的设备,ASUSTOR推荐以下措施:更改默认端口,包括默认NAS网页访问端口8000和8001,以及远程网页访问端口80和443;禁用EZ连接;关闭Plex端口并禁用Plex;做好文件/数据的备份工作;关闭终端/SSH和SFTP服务;不要将ASUSTOR设备暴露在互联网上,以免被DeadBolt加密。ASUSTOR表示,若设备已被DeadBolt勒索软件感染,请强制关闭NAS设备,并及时联系ASUSTOR技术人员咨询如何恢复文件;禁止尝试重启设备,因为这会清除所有文件和数据。截至发稿时,尚不清楚是否所有ASUSTOR设备都容易受到DeadBolt勒索软件攻击,但有报道称AS6602T、AS-6210T-4K、AS5304T、AS6102T和AS5304T型号没有受到影响。不幸的是,由于无法免费恢复被DeadBolt勒索软件加密的文件,许多受影响的QNAP用户被迫支付赎金来恢复他们的文件。恢复固件即将发布华芸科技在公告中表示,公司计划于2月23日发布恢复固件,让用户可以再次使用NAS设备,但加密文件和数据仍无法恢复。更糟糕的是,即使用户支付了赎金,在恢复过程中也可能无法恢复文件和数据,赎金记录页面和解密后的文件可能会被删除,这会给用户带来新的问题。因此建议用户在运行恢复软件前备份index.cgi和所有被DEADBOLT.html锁定的文件。这些文件包含支付赎金和接收解密密钥所需的信息,用户可以将其与Emsisoft的DeadBolt解密器一起使用。支付赎金后,攻击者将创建一个比特币交易到支付赎金的同一比特币地址,其中包含受害者的解密密钥。解密密钥位于OP_RETURN输出下,如下图:比特币交易的OP_RETURN输出包含用于勒索数千万人民币赎金的解密密钥。与上个月QNAP设备遭受的攻击类似,DeadBolt勒索集团正试图出售华芸和此次勒索软件攻击相关的零日漏洞信息,以及所有受害者的解密密钥。DeadBolt赎金票据包含一个标题为“来自ASUSTOR的重要信息”的链接,单击该链接后会显示来自DeadBolt勒索软件的消息。如果ASUSTOR支付7.5个比特币,DeadBolt攻击者将出售所谓的零日攻击的详细信息;如果ASUSTOR支付50个比特币,DeadBolt攻击者将出售所有受害者的主解密密钥和零日漏洞利用信息。这意味着ASUSTOR将承担此次勒索攻击的全部损失,约达数千万人民币。截至目前,华芸并未表示会支付赎金。有专家表示,华芸可能不会支付赎金。因此,如果您的设备已加密,从备份中恢复或支付0.03比特币可能更有效。方法。参考来源:https://www.bleepingcomputer.com/news/security/deadbolt-ransomware-now-targets-asustor-devices-asks-50-btc-for-master-key/
