群暉Synology NAS遭SynoLocker勒索之官方後續處理記錄
SynoLocker勒索軟體針對群暉Synology NAS進行了檔案加密攻擊,攻擊的方式很簡單,駭客利用軟體漏洞→入侵NAS→取得最高權限→植入惡意病毒碼→檔案被對稱式加密(RSA-2048)→受害者透過BitCoin付費取得解密鑰匙→檔案還原。
因為自己的認識的組織內,也有群暉Synology NAS一些零星的災情傳出,其實看到2048 Bits加密,在心底已經有不可能可以解決的底了,但還是上Facebook看一下官方是否有公開的解決方案,不看還好一看驚人,這就是堂堂一個群暉(Synology)大廠給使用者的回應嗎?
所有的回應不外乎是跳針式的回覆,約略是「請更新DSM...」、「請另外備份...」、「加密檔案無法解開...」等,我沒有看到任何真正的解決客戶的問題與補償方案,實在令人感到遺憾。最扯的是還有其它值得疑慮的人士,出來在Synology Taiwan官方Facebook上面進行跳針式的回覆,諸如:「自己不更新...」、「為何不定期備份...」等,真的是很扯。
官方回應資料備份照片
圖片記錄時間是2014/08/11 14:00止,Synology Taiwan官方Facebook是公開的,至於「值得疑慮的人士」需要Facebook登入後,才可以查到「公開」的資料,但這部份我還是全部把名字用馬賽克模糊起來,因為「人」不是這個文章要討論的事,「處理事情的手法跟方式」才是讓我覺得很扯的重點。
對SynoLocker勒索軟體事件的感想
- 使用者為了保全資料而買NAS,有可能還切成RAID 1犧牲空間來讓檔案保存最安全化,結果檔案卻被鎖起來,這讓使用者情何以堪?
- 不是每家中小企業,都有專業的IT人員,並具備專業知識,該公司亦未在包裝上載明如果不是專業人士,請勿購買。
- 中了綁架程式的使用者,他們都不是因為無法抗拒的因素(主機板燒毀、硬碟壞軌...等)讓檔案損毀,換句話說是在「正常使用」狀況下損毀。
- 不是所有的人,買了NAS產品後,會經常的去Update韌體,更別提終端使用者。(亦無所有的公司IT人員,可以保證公司內所有的電腦BIOS都是在最新狀態)
- 原機器未將軔體更新設計成自動更新模式且預設開啟,並設置開關讓使用者自行關閉。(所以請勿再類比Windows等OS讓人笑話,如果Microsoft SQL Server有開啟更新,但在正常的工作狀況下卻讓客戶的資料被鎖住並勒索,你再看看微軟會不會被告到死。)
- 一直跳針提說「半年前就發佈韌體更新」的說法,但是該公司在半年前是否有做到「善盡告知」的義務?(聯絡有註冊的買家?在各大媒體發佈儘速更新通告?)
後記
- 自己的認識的組織內確實有發生檔案遭鎖的慘事,有感而發才寫了這一篇記錄Synology公司草率的處理態度。
- 我自己的旗下機器群,確實也有群暉Synology的機器但未中毒,畢竟我這邊有妥善的專業管理與網路保護機制。(我本身並未受害)
- 經過這次的事件後,我對這間NAS大廠有了透澈的認知,相信其它的消費者也有自己的體認,這一點由消費者自行判斷,本文僅記錄事實。
- 勒索軟體有新變種,鎖定群暉NAS綁架網路硬碟資料(2014-08-04事件爆發之新聞稿)
- Synology建議用戶更新,防止勒索軟體SynoLocker影響舊版本 DSM(2014年8月08日 18:31才發佈,如果在半年前就花錢透過各式媒體發出這樣的通知,會有今日的事件嗎?就算發生也可以舉證自己已經盡力了吧?)