針對Qlocker 勒索病毒的說明 - QNAP

近期Qlocker 勒索病毒極具針對性地襲擊QNAP NAS，對用戶造成恐慌與困擾。

我們理解資料遭受加密的痛苦，並對於此次惡意攻擊造成的損失深表遺憾。

及時修補漏洞並完整揭露 ... QRescue  回應Qlocker事件  Q&A     針對Qlocker勒索病毒的說明 近期Qlocker勒索病毒極具針對性地襲擊QNAPNAS，對用戶造成恐慌與困擾。

我們理解資料遭受加密的痛苦，並對於此次惡意攻擊造成的損失深表遺憾。

及時修補漏洞並完整揭露資訊，我們責無旁貸。

我們將持續深化資安防護功能，並提供更完整而便捷的安全設定操作。

期望您與我們一起提升資安防護層級，共同阻絕惡意攻擊。

事件說明 2021年4月16日，QNAP發布了HybridBackupSync應用程式(HBS；混合型備份與同步中心)的更新版本(16.0.0415)，目的為追加新功能並解決QNAP資安通報QSA-21-13中所述的安全議題。

4月21日，我們開始收到使用者回報，稱可能受到勒索病毒攻擊。

隨後，經我們調查後證實，此次Qlocker勒索病毒乃針對QNAPNAS使用者而來，利用了HBS此App內甫修補的軟體弱點，對直接連線至網際網路，且尚未安裝HBS更新版本的QNAPNAS發起惡意攻擊。

Qlocker攻擊者開採了一個HBS內已修補的弱點，該弱點可讓惡意軟體取得不當NAS權限。

攻擊者入侵QNAPNAS後，會植入惡意程式，並以最高權限刪除儲存池內的所有快照，更以QTS內建的7-Zip軟體，對NAS裡的檔案進行加密壓縮。

Qlocker在攻擊後會留下勒索訊息及付款資訊，並移除自身的惡意程式碼，增加我們追溯的難度。

基於上述特性，我們在接獲使用者通報攻擊事件後，第一時間便於QNAPNAS的惡意軟體偵測程式MalwareRemover中新增相關規則，來檢知及阻擋Qlocker的活動，並嘗試透過特定手法，在加密壓縮進行中攔截攻擊者所使用的密碼。

隨後，我們在4月22日發布新聞稿，優先呼籲用戶儘速安裝近期所發布的所有更新，阻絕攻擊者可能利用的所有管道。

而在證實Qlocker開採HBS漏洞後，我們也繼續增修MalwareRemover規則，為尚未安裝HBS更新的QNAPNAS優先隔離弱點所在的程式碼。

感染症狀 尚未發作 感染Qlocker但尚未發作的QNAPNAS沒有任何異狀。

加密壓縮進行中 在Qlocker發作中(加密壓縮進行中)的QNAPNAS上，使用者會觀察到其檔案副檔名逐一變成.7z，或在QTS內的ResourceMonitor中觀察到7z這個程序佔用異常大量的系統資源。

已完全加密 在Qlocker發作結束(加密壓縮已停止)的QNAPNAS上，使用者會觀察到其檔案副檔名均變成.7z，且資料夾中留有攻擊者的勒索訊息及贖金付款指示(純文字檔案)。

與Qlocker相關的資安措施紀錄  2021年3月19日 接獲ZUSOART提交的HBS弱點通報。

  2021年4月16日 發布當前版本之HBS的弱點修正版本，為了保護尚未更新的使用者，降低過早揭露引起攻擊的風險，我們調整了資安通報的發布時間點。

2021年4月21日 我們開始接獲使用者通報加密勒索事件，並立即啟動調查。

2021年4月22日 第一次針對Qlocker發布MalwareRemover偵測規則阻止加密壓縮，並在QNAP網站發布新聞稿及對應資安通報。

2021年4月23日至25日 全球各地QNAP技術服務單位持續協助受影響使用者，檢測並排除Qlocker的影響及提供一切可行的協助。

2021年4月26日 第二次針對Qlocker發布MalwareRemover偵測規則，為尚未安裝HBS更新的QNAPNAS優先隔離弱點所在的程式碼。

MalwareRemover掃描功能 在感染Qlocker但尚未發作的QAPNAS上執行MalwareRemover掃描，會清除Qlocker惡意程式碼。

如果這部QNAPNAS上的HBS應用程式尚未更新到修補後的版本，MalwareRemover會一併移除該App內存在弱點的程式碼。

在Qlocker發作中(加密壓縮進行中)的QNAPNAS上執行MalwareRemover掃描，會中止加密壓縮，並嘗試擷取攻擊者所使用的加密密碼。

如果這部QNAPNAS上的HBS應用程式尚未更新到修補後的版本，MalwareRemover會一併移除該App內存在弱點的程式碼。

在Qlocker發作結束(加密壓縮已停止)的QNAPNAS上執行MalwareRemover掃描，如果這部QNAPNAS上的HBS應用程式尚未更新到修補後的版本，MalwareRemover會移除該App內存在弱點的程式碼。

針對MalwareRemover所進行的動作，QNAPNAS的系統事件記錄中均會留下相關記錄。

使用者對於Qlocker應採取的行動 對於所有使用者，我們均強烈建議立即在QNAPNAS連接網際網路的情況下手動進行MalwareRemover掃描。

MalwareRemover會自動更新其掃描規則到最新版本，並偵測QNAPNAS是否受到Qlocker勒索病毒及舊版HBS弱點的影響。

但請注意，QNAPNAS連接網際網路的方式，亦對系統安全性有所影響。

若要安全地進行，請參考下列一般建議事項的說明。

此外， 加密壓縮進行中或已完全加密 如果您的QNAPNAS受到Qlocker影響，不論加密壓縮是否進行中，請勿將NAS關機或重啟，也不要更新NAS作業系統。

請在進行上述MalwareRemover掃描後，儘速聯繫QNAP技術支援部門尋求協助。

我們將查看您的QNAPNAS，判斷是否能取回您的資料； 尚未發作 如果MalwareRemover在您的QNAPNAS偵測到Qlocker並加以清除，但您的檔案未被加密，請立即採取列於一般建議事項的措施，強化QNAPNAS安全性； 未受感染 如果MalwareRemover未在您的QNAPNAS偵測到Qlocker，您仍應採取下列一般建議事項的措施，強化QNAPNAS安全性。

資安一般建議事項 若使用者要從網際網路(外網)連接到位於區域網路(家中或辦公室)的QNAPNAS，我們建議啟用QNAP免費提供的myQNAPcloudLink服務。

myQNAPcloudLink不需繁複的網路設定，即可快速啟用連線，供您安全取用資料。

對於進階使用者，我們強烈建議不要直接將QNAPNAS連接到網際網路，避免遭到攻擊者直接利用。

我們建議啟用路由器或分享器的VPN伺服器功能，透過VPN連入內網，再存取QNAPNAS，提高攻擊難度與安全性。

關於相關說明及建議設定，請參閱QNAPBlog文章：https://blog.qnap.com/zh/nas-internet-connect-zh/ 除了QNAP隨時釋出資安更新修補外，使用者也可採取一系列的措施，進一步強化QNAPNAS安全性，讓攻擊者難以入侵。

這些措施包括： 啟用自動更新設定，或自行定期檢查作業系統及App相關更新 參考3-2-1備份策略，為QNAPNAS上所存資料進行備份。

請注意，如果資料僅儲存一份在QNAPNAS，即使您已啟用RAID及快照等資料保護功能，亦無法提供完整保護。

RAID只能保護硬碟意外故障的情況，而快照可在電腦端中毒時保護NAS內的資料。

適當備份您存在NAS的資料，或再次備份您存在NAS的備份檔，才能提供更全面的保護。

請參照此篇QNAPBlog文章後半部的安全設定建議，提高NAS安全性並增加惡意人士攻擊難度：https://blog.qnap.com/zh/nas-internet-connect-zh/ 註冊QNAPID並訂閱我們的資安通報，可即時收到我們發布的資安更新訊息：https://account.qnap.com/  特別感謝 QNAP感謝同樣位於台灣的資安公司ZUSO如梭世代通報弱點，並協助IR事件調查，共同打擊網路攻擊。

後續QNAP仍將持續與ZUSO如梭世代及其他資安研究團隊合作，提升全系列產品的安全防護。