최근 NAS 를 목표로한 랜섬웨어에 공격을 받았다고 문의 하시는 고객들이 많으십니다
특히 일부 기종 UB-2300/UB-5300 에 집중되어 있는데 이 기종을 사용 하시는 분들은 특히 주의 하셔야 합니다.
랜섬웨어에 일단 걸리면 복구 할수 있는 방법이 거의 없다고 보시면 되고 조금이나마 미리 예방 하는 방법을 정리 하여 두었으니 보시고 최소한의 조치를 취하시기 바랍니다
NAS 용 랜섬웨어는 걸리게 되면 다음과 같은 텍스트 파일을 납김니다
_FILES_ENCRYPTED_README.TXT
내용은 다음과 같습니다
All your files have been encrypted using strong encryption!
Please contact us to resolve this issue.
Main communication channel:
toxchat: https://tox.chat/download.html
User ID: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F
Backup communication channel:
bitmessage: https://bitmessage.org/wiki/Main_Page
User ID: BM-NBhK75B8jWUTMVeanc6uyksLJbdz7o3V
Please leave the chat application running while you wait for our reply within 24h.
Here you can learn more about our project:
https://www.bleepingcomputer.com/forums/t/691852/cr1ptt0r-ransomware-files-encrypted-readmetxt-support-topic/page-1
We are the only service that provide the decryption key.
Don't waste your time and contact us today!
Fast support and full recovery guaranteed!
Kind regards from the Cr1ptT0r team.
~
특징
걸렸을 때는 위와 같은 txt 파일을 남기지만 재부팅 하면 부팅이 안되는 경우 및 디스크의 레이드 정보 파괴 와 레이드의 슈퍼블럭을 파괴 하여 데이터에 아예 접근 할 수 없는 경우도 있습니다
최소한의 방지책
1. root 패스워드 변경 - 8글자 이상으로 특수문자를 앞뒤 또는 중간등에 포함 하여 재설정
2. guest 계정 삭제 또는 비밀번호 변경(root 패스워드와 같이 동일한 방식)
3. 사용자 계정 패스워드 변경 - 사용자 id 와 같은 패스워드 또는 1111, 1234 등과 같은 패스워드 즉시 변경
4. 외부접속이 반드시 필요한 경우가 아니면 외부접속 차단
5. 공개된 게시판, SNS 등에 서버 주소 노출 방지
6. 사용하지 않는 서비스 중단 - 아래 예시 외에도 사용하지 않는 서비스 전부 사용 안함으로 변경
7. 제어판 보안 설정에서 ip 차단 또는 port 차단 및 웹로그인 자동차단
8. 마지막이자 가장 중요한 2차 및 3차 백업
*** 외장하드 또는 추가 서버 를 이용한 데이터 백업 => 반드시 *** 백업 백업 백업 백업 아무리 강조 해도 지나 치지 않습니다
절대 절대 백업 해 두세요 ~