华硕子公司ASUSTOR遭攻击，被勒索数千万人民币

与上个月针对威联通 NAS 设备的勒索软件攻击类似，华硕旗下的华硕网络附加存储（NAS）近期也遭遇勒索软件攻击。攻击。勒索软件攻击影响了全球许多用户，并在 ASUSTOR 论坛上引起了广泛讨论。

这两次攻击都是由 DeadBolt 勒索软件进行的，所有文件都被赋予了 .deadbolt 文件扩展名。华硕登录页面也被数据勒索通知取代，要求用户支付0.03比特币，折合人民币约7000元，如下图：

目前，ASUSTOR 并未解释其 NAS 设备是如何加密的，但一些用户认为黑客利用了 PLEX 媒体服务器或 EZ Connect 中的漏洞来加密他们的 NAS 设备。

ASUSTOR 表示公司正在全面调查勒索软件攻击并发布说明：由于 ASUSTOR NAS 设备受到 Deadbolt 勒索软件攻击，在调查问题期间 myasustor.com DDNS 服务将被禁用。华芸科技亦会第一时间公布事件原因及后续调查信息，以保障用户NAS设备的安全，并会全力解决用户遭受勒索攻击的问题。

为了更好地保护您的设备，ASUSTOR 建议：

1、更改默认端口，包括默认的NAS Web访问端口8000和8001，以及远程Web访问端口80和443；

2、禁用 EZ Connect；

3、关闭 Plex 端口并禁用 Plex；

4、做好文件/数据的备份工作；

5、关闭终端/SSH和SFTP服务；

6、不要连接 ASUSTOR 设备 暴露在互联网上，以免被 DeadBolt 加密。

ASUSTOR表示，如果设备被DeadBolt勒索软件感染，请强制关闭NAS设备类似比特币的软件，并及时联系ASUSTOR技术人员询问如何恢复文件；不要尝试重启设备，因为这会清除所有文件和数据。

截至发稿时，尚不清楚是否所有 ASUSTOR 设备都容易受到 DeadBolt 勒索软件攻击，但报告显示 AS6602T、AS-6210T-4K、AS5304T、AS6102T 和 AS5304T 型号不受影响。不幸的是，由于无法免费恢复被 DeadBolt 勒索软件加密的文件，许多受影响的 QNAP 用户被迫支付赎金来恢复他们的文件。

恢复固件即将推出

华硕在公告中表示，公司计划在 2 月 23 日发布恢复固件，让用户可以再次使用他们的 NAS 设备，但已经加密的文件和数据无法恢复。更糟糕的是，即使用户支付了赎金，在恢复过程中文件和数据也可能无法恢复，赎金记录页面和解密文件可能会被删除，这会给用户带来新的问题。

因此建议用户在运行恢复软件之前备份 index.cgi 和所有被 DEADBOLT.html 锁定的文件。这些文件包含支付赎金和接收解密密钥所需的信息类似比特币的软件，用户可以将其与 Emsisoft 的 DeadBolt 解密器一起使用。

在支付赎金后，攻击者将创建一个比特币交易到支付赎金的同一个比特币地址，其中包含受害者的解密密钥。解密密钥位于 OP_RETURN 输出下，如下所示：

比特币交易的 OP_RETURN 输出包含解密密钥

关于勒索软件上千万人民币的赎金

与上个月对威联通设备的攻击类似，DeadBolt 勒索软件组织正试图向华硕出售与此次勒索软件攻击相关的零日漏洞信息，以及所有受害者的解密密钥。

DeadBolt 勒索记录包含一个标题为“来自 ASUSTOR 的重要消息”的链接，单击该链接将显示来自 DeadBolt 勒索软件的消息。

如果 ASUSTOR 支付 7.5 BTC，DeadBolt 攻击者将出售所谓的零日漏洞的详细信息；

如果 ASUSTOR 支付 50 BTC，那么 DeadBolt 攻击者将出售所有受害者的主解密密钥和零日漏洞利用信息。这意味着华硕将承担此次勒索软件攻击造成的全部损失，金额约千万元。

截至目前，华芸尚未表示会支付赎金。有专家说华硕可能不会支付赎金，所以如果你的设备是加密的，从备份恢复或支付0.03比特币可能是更有效的方法。