威联通NAS中的虚拟机感染勒索病毒始末

前言

第一次在这里写文章。

了解过NAS的同学们都可能听说过威联通的 TS-453Bmini 这款机器，自从当初购买后感觉它的用处还真是不小。它内置的虚拟机工作站功能，被我拿来装了两三个 Windows 系统，平时用来挂个24小时在线的YY小号或者运行些 Windows 平台需要长时间挂机运行的软件，甚至是开个小游戏服务器都是不在话下的。可就在昨天，我遇见了个以前只在新闻中才会看见的破事。

事件经过

昨天我像往常一样早晨登进YY，一看频道里挂机的小号不在线，心想看样昨晚又断网抽风来着。远程进了家里的虚拟机管理页面，进去一看瞬间惊出了一身冷汗——虚拟机中的win7系统的显示页面不是我最后离开时的那个桌面，而是另外一个名为turst的账户登录界面。 我心想握草不好，岂不是个人文件都被看光了？甚至删光了？（因为虚拟机挂载着一个NAS里的文件夹）

停留在了这个页面

我选择切换账户，发现我的账户还在，于是切换回我之前的账户，发现桌面变成了这样。

被感染后的桌面

桌面上有一个txt文件，我打开看了一下，然后意识到，我的虚拟机被感染了勒索病毒。 症状就是，除了一些为了保证被感染的系统能正常运行的exe、dll等文件外，所有文件都被加密，并且扩展名都变成了随机的一串字符。

勒索病毒说明文件

其实此时我反倒稍微松一口气，因为如果是勒索病毒，那应该没怎么翻过我NAS文件夹里的文件... ，虚拟机里也就有一些游戏服务器所用的文件，丢了也无所谓。

浏览器里的历史记录

我看了一眼浏览器里的历史记录，发现对方访问了这些网址，应该是得到我虚拟机控制权之后打开浏览器下载了勒索病毒程序，对我全盘加密。 而且这个时间点，其实我还在电脑边玩没有睡觉 ，也就是我在NAS旁边坐着，人家进来远程控制我虚拟机给我种病毒。

就在我暗自庆幸的时候，我发现了一个问题——虚拟机中挂载的一个NAS的文件夹貌似也受到了影响。

我被惊出了一身冷汗，赶紧把虚拟机关闭，远程进了NAS管理页面，查看受波及的文件有多少。

进去后胆战心惊的翻了半天，又挨个大共享文件夹稍微搜索后发现，只有NAS中的Public文件夹被全部加密了。用威联通的同学们都知道，此文件夹是系统自己创建且不可删除的，而且我平时也比较注意了它的字面意思——”公用“，所以放的文件都是些不那么重要的，而且存放的基本都是一些虚拟机和其他局域网设备需要互相传输的文件。 好在虚拟机种只挂载了这一个文件夹，如果挂载了其他的甚至对方手动操控映射挂载这些文件夹...那损失的文件真是能让人想自尽了 。

之后我的心情久久不能平静，心里充满了又后怕又庆幸的复杂心情。

何方神圣所为？

我按照勒索说明文件谷歌了一下，后来还进了文件里给的网址看有什么幺蛾子，对方的页面是这样子的：

勒索页面

索要赎金价格

页面内有一些提示和说明，还有个倒计时告诉你还有多久赎金翻倍，以及五千美金的赎金价格。

自我介绍（浏览器机翻）

页面内还有一个可以上传图片文件提供试解锁的地方，机会只有一次。我传了个被病毒加密的图片，的确能够下载到解锁后的图片。对此病毒感兴趣的同学可以搜索 Sodinokibi 。

中招原因分析

为什么我会中招？这一点我再清楚不过了。首先因为前几天觉得在网页里操控虚拟机不如远程VNC方便，于是我在路由器里映射了VNC的端口，将它暴露在了互联网中。最重要的是，我的VNC密码只设了一位数字... 因为当时也没有多想。

启示和对策

• 虽然这件事并不是NAS的问题，但是还是要提醒大家，加强NAS管理密码的复杂程度。

• 对于虚拟机，可以在虚拟机工作站定期备份整个虚拟机系统，避免感染病毒或者系统崩溃造成的虚拟机内文件的损失。

• 虚拟机的远程VNC开启时要三思，因为这个端口范围恐怕很容易被那群狗盯上或者撞大运。即使要开启，也千万要设定一个极其复杂的VNC验证密码。

• 建议为虚拟机专门建一个共享文件夹，并在NAS中建立一个虚拟机专用账户，将此账户的权限设置成拒绝访问其他任意共享文件夹，只能读写虚拟机专用文件夹。在虚拟机中只使用此账户挂载此文件夹，避免影响NAS中的其他文件夹。
  

• 将NAS中的文件多备份几个地方 ，避免发生匪夷所思的不幸之事。

• 在公网环境中少暴露一些不必要端口

• 加强各个地方的密码复杂程度。
  

结语

此次事件着实给我敲响了声震耳欲聋的警钟，算是损失一小点文件换来了更高的安全意识。希望此篇经历也能为大家提个醒，大家快自查一下哪里有松懈的漏洞，快去堵住！现在还来得及！