NAS设备的勒索软件攻击

NAS设备被个人和公司广泛使用，用于存储大量数据，通过网络访问。将NAS用作备份存储也非常方便，在许多情况下，NAS设备连接到互联网。这就是为什么NAS设备是网络犯罪分子常见目标的原因。一些勒索软件版本专门设计用于攻击NAS。

然而，如果网络中的计算机感染并且能够访问NAS，那么存储在NAS上的文件可能会被任何勒索软件加密和损坏。对许多用户来说，这可能会感到惊讶，他们认为NAS是可靠的，并且默认情况下是不可攻破的。本博客文章解释了如何保护NAS免受勒索软件攻击。安全措施包括一般的防勒索软件措施以及NAS特定的措施。

更改NAS的凭据

勒索软件制作者非常了解不同NAS设备上的默认管理员用户名和密码。管理员或admin是管理员帐户的最流行用户名。如果设备上的用户名和密码未更改，攻击者可以轻松访问NAS。当管理员用户设置自己的密码时，攻击者可以使用自动化工具进行暴力攻击和字典猜测密码，以完全访问NAS。

通常情况下，您无法在NAS设备上删除内置管理员帐户。最好的做法是在您的NAS上创建一个新的用户帐户，并设置一个强大的用户名和密码，难以猜测。然后为此帐户添加所有管理员权限（默认管理员帐户可用的所有权限）。完成后，在您的NAS上禁用默认管理员帐户。

您可以为直接访问NAS上共享数据的用户创建帐户，或者您可以将您的NAS加入到Active Directory域，并使用Active Directory用户帐户共享文件夹并访问它们。

确保为访问共享数据的用户使用强密码。强密码至少包含8个字符，包括大写字母、小写字母、数字和特殊字符（如%，$ &＃）。

如果用户从感染的计算机具有对NAS上共享文件夹的写访问权限，则NAS上的数据可能会被勒索软件加密。 NAS上的可访问数据也可能被勒索软件加密。

A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS  if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.

另一个好的做法是为不同类别的用户设置不同的访问级别。需要只读访问权限的用户不应具有写权限，以进一步提高安全性。

配置防火墙

如果您的NAS必须从外部网络或互联网访问，请正确配置网关上的防火墙，仅允许来自信任IP地址的访问。这样可以防止攻击者通过互联网扫描和检测您的NAS设备。最佳选择是将您的NAS置于NAT防火墙后面。

允许外部用户访问您的网络有两种方法：端口转发和虚拟专用网络（VPN）。如果您使用端口转发从外部网络访问您的NAS，请为访问数据使用自定义（非标准）端口号。例如，使用TCP端口8122而不是22。攻击者通常扫描标准端口以检测开放端口，并开始暴力/字典攻击以破坏帐户并访问NAS。然而，扫描所有端口的扫描器也可能用于查找开放端口。

只开放需要的端口来让NAS可以访问，而不是开放所有端口。例如，如果您使用SMB在局域网上传输文件，并使用SFTP在广域网上传输文件，则禁用其他未使用的服务和文件协议。在局域网中选择使用最新版本的SMB（CIFS）协议，因为它具有更高的安全级别。

您还应禁用远程连接。在群晖NAS上，禁用旨在从任何广域网IP地址连接到NAS的快速连接功能，而无需配置端口转发。禁用此功能可以减少连接到NAS的方式，从而降低NAS被入侵和数据被勒索软件加密的可能性。

保护您的网络、计算机和其他连接到网络的设备。如果您仅将NAS用于在本地存储备份，则禁用从外部网络连接到您的NAS。如果您的NAS上有内置防火墙，则可以仅允许来自定期备份数据的服务器的IP地址的连接。更新固件

更新固件

NAS 设备有固件或特殊操作系统，用于在 NAS 上工作。勒索软件可以利用软件的安全漏洞感染设备并加密文件。安装在 NAS 设备上的操作系统也不例外。定期更新 NAS 固件（操作系统）和应用程序，安装最新的安全补丁，修复已发现的 NAS 软件漏洞。安装安全更新可以减少 NAS 设备受到勒索软件攻击的风险。在这种情况下，自动更新可能很有用。

注意：最近的勒索软件攻击涉及 eCh0raix 勒索软件使用暴力破解和软件漏洞来攻击未打补丁的 QNAP NAS 设备。使用弱凭据和未打补丁的软件的用户受到 eCh0raix 的攻击。最新的勒索软件攻击针对 NAS 设备的还包括 AgeLocker 和 QSnatch。

配置安全设置

许多NAS设备都有内置的安全设置，对于勒索软件保护很有用。自动阻止选项用于防止暴力破解攻击以获取对NAS的访问权限。配置NAS软件以阻止检测到过多登录尝试的IP地址。启用日志记录以检测登录失败的尝试。配置帐户保护允许您在X次登录尝试失败后的XX分钟内阻止登录选项。防止未经授权的访问可降低勒索软件攻击NAS设备的概率。如果您的NAS设备暴露在互联网上，请启用DDoS保护。此选项可保护NAS设备免受分布式拒绝服务攻击，这些攻击旨在破坏在线服务。

使用安全连接

始终使用加密连接到您的NAS。启用SSL以使用HTTPS协议而不是HTTP访问NAS Web界面。如果与外部用户共享文件，请改用SFTP或FTPS而不是FTP，因为经典FTP不支持加密。当您使用没有加密的网络协议时，第三方可以捕获通过网络传输的数据。在使用不安全的未加密连接时，密码会以明文形式传输。使用SSH而不是Telnet来管理NAS的命令行界面。

保护整个环境

有效的勒索软件防护措施涉及所有连接到您网络的设备的一整套措施。即使是一个未受保护的设备也可以被用作勒索软件的入侵点。更新所有设备的固件，安装所有机器的安全补丁。使用反垃圾邮件过滤器配置电子邮件保护，因为垃圾邮件和钓鱼邮件是最受欢迎的勒索软件感染方法。配置监控以尽快检测勒索软件网络攻击，并阻止文件加密和勒索软件传播。

备份数据

网络犯罪分子正在寻找新的漏洞，并改进攻击技术来攻击用户并加密他们的数据。勒索软件攻击变得更加复杂。这就是为什么您应该定期备份您的数据。备份可以让您在勒索软件攻击或其他导致数据丢失的灾难情况下快速恢复数据。NAS设备通常被用作备份目的地，但它们也可能成为勒索软件的目标。因此，您应该根据3-2-1备份规则创建备份副本。定期备份您的数据并创建多个备份副本。如果您的文件被勒索软件加密，不要支付赎金，因为支付会激励网络犯罪分子发动更多攻击。

NAKIVO备份与复制是一种通用的数据保护解决方案，可安装在NAS上，并可以将您的数据备份到NAS和其他存储介质，包括创建备份副本到磁带和云端。NAKIVO备份与复制支持备份VMware vSphere虚拟机、Microsoft Hyper-V虚拟机、Amazon EC2实例、Linux机器、Windows机器、Microsoft 365和Oracle数据库。您可以通过简单下载免费版来探索NAKIVO备份与复制的各种功能。免费版允许您免费保护10个工作负载和5个Microsoft 365帐户一年！

阅读其他关于勒索软件的博文，了解更多关于从勒索软件攻击中恢复、勒索软件如何传播以及如何移除它的信息。

结论

随着NAS设备的日益普及，不幸的是，针对NAS的勒索软件也在上升。为了保护NAS设备免受勒索软件攻击，您应该实施一套完整的措施。设置强密码，配置防火墙，配置权限，保护NAS上的软件以及网络中其他计算机上的软件，定期安装安全补丁。在组织的电子邮件服务器上配置电子邮件过滤，以防止用户受到垃圾邮件和钓鱼邮件的侵害。但最重要的是，确保定期备份数据，以确保您在勒索软件事件后能够恢复数据。