NAS 中了勒索病毒了

This topic created in 185 days ago, the information mentioned may be changed or developed.

小型局域网，系统都是几台 Win10 加 nas 文件共享，有台 Win10 也开局域网共享。 NAS 是 TNAS （ TerraMaster ），系统是 TOS 3.1.10 ，4 个 6TB 磁盘作 Raid5 阵列，大约 18TB 图片（ psd 、psb 、tif 、jpg ），只有 NAS 里的图片（.jpg, .psd ）被加密成*.anon 文件，还有大量的文件没来得及继续加密。发现后马上把 nas 断网了，看到硬盘灯还在闪烁于是 nas 先关机几小时后 win 电脑都正常，没有文件被加密。然后把 nas 单独和一台电脑用一根网线连接，进入 nas 后台，发现桌面上有 README.txt 文件，进入共享文件夹也有 README.txt 文件，还有约 2000 个不重要的旧的 psd 和 jpg 文件被加密，因为断网，被加密文件没有增加，打开 README.txt ，是如下内容：

This IS ANON RTS LOCKER!!!!

Your computers and servers are encrypted, and backups are deleted. We use strong encryption algorithms, so no one has yet been able to decrypt their files without our participation.

Remember: The faster you content us and pay, the discount you will get is bigger.

The only way to decrypt your files is to purchase a universal decoder from us, which will restore all the encrypted data and your network.

YOUR PERSONAL ID : 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

Follow our instructions below, and you will recover all your data:

Pay 0.01 BitCoin to Our address.

Address 1 : bc1q74stt84cqhs4c0tmj4rj3rwfa6ef7dc90gg33a

Address 2 : bc1q7ufxwf8zde63f7zgr9hnjjutq3uez2fjp0gyvl

Address 3 : bc1qr5rdc4eewlkct5durxk8nkqm02w0qr6wqtpkg4

P.S: If you don't know what is BitCoin, you can google how to use the exchange pay to us. Or you can find the third-part solution services to ask for their help.

Send us message with transaction id and your personal id.

TOX ID : 74E8C99142A3DC785F71CE4B88BA42E4DA725E40A162F1FAC0BE16DD9213895A276C98E3DEC9

Email 1 : [email protected]

Email 2 : [email protected]

Launch decryptor.exe, which our supportor will send you through email.

What guarantees?

We value our reputation. If we will not do our work and liabilities, nobody will pay us. This is not in our interests. All our decryption software is tested by time and will decrypt all your data.

!!! DO NOT TRY TO RECOVER ANY FILES YOURSELF. WE WILL NOT BE ABLE TO RESTORE THEM!!!

现在的做法是：把那台 nas 已经断开外网，只和一台电脑连接。明天再观察局域网里其他电脑上有没有图片被加密（刚开始观察几小时后都正常），如果确定没有，那么只有 nas 被入侵而已。据网上查询，一个星期前也有一家公司的 nas 文件被加密，情况和我的一样，只是那家怀疑电脑中病毒了隔离，然而 nas 一直联网导致 nas 上的所有文件被加密了。我是幸运早发现了，就把 nas 断开了，然后也有约 2000 个文件被加密，只是这些文件是早期的，没什么价值，被加密的文件现在也不碰，等以后出现解密工具后再去试试解密，那些没被加密的文件都正常，也可以使用。然后我把 nas 设置里供远程访问的禁用，网关也禁用（或者改下数字使之失效），nas 本来就只在局域网提供文件共享用的。明天把 nas 重新连接到局域网密切观察被加密文件有没有增多，如果在继续加密文件，访问 nas 也会卡顿的，如果正常了，说明就算 nas 里有木马也无所谓。要想根本防治，再买个新 nas 最稳妥，这个就当以后备份用。

被加密成 .anon 文件现在输入在线数据库没匹配，解不开，病毒可能是变种。怀疑不是电脑中的病毒，是 nas 系统有漏洞被入侵，查看日志发现 ip 205.210.31.11 和 198.235.24.167 前 2 天 web 登录过 nas

问下各位有没有碰到类似这种情况是怎么解决的？

勒索病毒

NAS

加密

37 replies 2025-12-06 23:09:02 +08:00

villivateur

Nov 13, 2025

硬盘拆出来，在干净的电脑上单独备份重要文件，然后所有可能受影响的设备都彻底格盘重装

SenLief

Nov 13, 2025 via iPhone

有外网 ip 登录 nas ？ nas 暴露到了外网了？

chinanetcoltd

Nov 13, 2025

去看看快照开了没，开了就无所畏惧，没开找找有没有备份，前两个都没有先把没加密的考出来解决。你说开的共享，病毒可能并不在 nas 上，其他设备也要排查。

Huelse

Nov 13, 2025

没有办法，靠文件快照。记得以后全部走 wireguard 访问吧。

Exsi

Nov 13, 2025

没法解决快照或者备份

mrzx

Nov 13, 2025

呵呵,这就是为什么我要做文件快照的原因

你随便加密和勒索,我最多丢失 1 天的数据,立刻把所有数据恢复..

此外,NAS 永远别公布在公网上可以访问,那不是找死吗

ZFS 和 Btrfs 都行.

目前 ZFS 已经在大型项目中部署了那么多年,稳定性是不成问题的

991547436

Nov 13, 2025

24 年护网演练的时候被铁威马的任意文件上传漏洞打进来了还是转其他 nas 吧

vpsvps

Nov 13, 2025

最好别开机运行受感染的系统，不然加密进程会继续执行的，采用挂载方式安全些

wangshou89

Nov 13, 2025

中过，没戏，交赎金也不会解

hackerfans

Nov 13, 2025

断网是没用的，因为加密过程可能并不使用网络，都是本地加密。断电是最有效办法，而且别再开机，开机后加密程序会继续。正确做法是拆硬盘查看恢复数据

shaohan0228

Nov 13, 2025

这是暴露在公网上了？

honeyeric99

Nov 13, 2025

23 年的时候，经历过一次，真的很想知道这些搞勒索病毒的，到底是怎么找到目标的...
码个，UP 的处置过程简直范本

zhixiao

Nov 13, 2025

vpn 回家才能登录 nas ，也开启 2fa ，我不信这样还能被他入侵

tmtstudio

Nov 13, 2025

是不是弱口令，我 nas 开公网三年多了一点问题没有

JerryZhi

Nov 13, 2025

@honeyeric99 感觉是直接扫 ip ，大海捞针但反正没啥成本

OctopusGO

Nov 13, 2025

我交过赎金给我解密软件了我解开了
我可以发给你你试试

234ygg

Nov 13, 2025

不要乱下载，不要乱暴露到公网。。只开放一个端口给 VPN 设备回家用。。

yangzzzzzz

Nov 13, 2025

俺的 nas 只放电影

sheepyoungg

Nov 13, 2025

同楼上，从不暴露出去，只通过 VPN 回家

tamakiui

Nov 13, 2025 via Android

俺没有 nas （笑）咳咳，俺的小电脑+vps 是 linux 主机，有 fail2ban ，升级速度快，有 firewalld ，有完整的目录权限的考虑。而且上了 cdn ，不信请访问
https://origin.1638410.xyz/admin/

你会被拒绝，而且，我的设备就算更换网络照样能上（只是举个例子。cf 速度慢，我也不用来传文件，所以说我没有 nas ，有 nas 的都是什么有钱人，大硬盘+高速公网访问是很多人都做不到的，当然 nas 公司提供的除外，那个是牺牲了什么的）

总而言之就是从系统到网络都应该是有权限控制的...其中一个出了问题不会寄得很惨。

tamakiui

Nov 13, 2025 via Android

nas 系统是否安全...不了解。只是强调一下，并没有拉踩

nxuu

Nov 13, 2025

我们的 nas 都是小姐姐或者小哥哥没有重要的资料吧重要的资料为什么要放 nas 里面呢最起码云盘要有一两份的备份.

nuomi196500

Nov 13, 2025

用过某国产 NAS ，有次用自己账号登陆网页版的时候，进入的是别人的 NAS 网页，随便看随便增删查改，从那以后再也不碰 NAS ，重要资料都是硬盘备份

meppy

Nov 13, 2025

看我的帖子，我也中过，后来用一个免费软件恢复了 80%的照片，仅此而已，吸取个教训吧，放外网也是 ok 的，但一定得开 2FA

cjpjxjx

Nov 13, 2025 via Android

盲猜暴露到公网+默认用户+弱密码

OneLiteCore

Nov 13, 2025

是怎么暴露到公网的？家用宽带有公网 IP 还是说通过厂商自带的内网穿透服务？

0x663

Nov 13, 2025

暴露公网的服务加 2FA 。

Q980q48Jgj6pRXoO

PRO

Nov 13, 2025 via iPhone

你需要强密码+2fa

busier

Nov 13, 2025 via iPhone

我都是只读共享

更新数据走 ssh

liuzimin

Nov 13, 2025

@JerryZhi #15 好像还有的是使用的盗版软件被投毒？中毒后被横向渗透感染局域网中其它机器？

esee

Nov 13, 2025

nas 暴露到外网还有弱密码，那被暴也是早晚的事情

guanjinman2022

Nov 14, 2025

感谢各位！已经一天了，没事了。怀疑 nas 系统存在漏洞，被攻击，到底 nas 的 TOS 系统里有没有勒索病毒，我不知道。

现在我把 nas 远程访问功能禁用了，再把网络设置的网关改了（失效），总之就是不让 nas 和外网联通，内部局域网访问都正常。那些被加密的文件都集中存在一个文件夹里，不重要，删掉也无所畏，等以后哪天有公开免费解密工具后再试着解开。从昨天到现在，加密文件没增加。1840 个文件 jpg 、psd 和 psb 被加密，250GB 数据加密了 1 小时（幸好发现早）

a8500830

Nov 14, 2025 via iPhone

碰到过一模一样的情景，不用怀疑就是你 windows 的锅。和 nas 无关。我几年前中过一次就是 windows 共享开着，当时在远程 20 分钟没看就中毒了，应该是那个特别有名，而且免费的远程软件漏洞导致的。后来新闻也爆出有漏洞，导致这种加密病毒。损失了几个 t 的小姐姐。后来再也不开 smb 了

guanjinman2022

Nov 14, 2025

@a8500830 不是 windows 的锅。不让 nas 和外网联通后又接入了，好多天了现在没有文件被加密，局域网里很多电脑都开着远程 rustdesk ，一直开着很久了的。如果是 rustdesk 有漏洞，早被加密了。

guanjinman2022

Nov 14, 2025

@tamakiui
@OneLiteCore
@cjpjxjx
@SenLief
@shaohan0228
@esee

nas 登录名，默认，但是密码 15 位数字加字母不算弱了。大概率通过系统漏洞盲扫进去的，而且 nas 默认设置里可用远程登录的。反正就文件共享用，就在局域网内部访问就行，把 nas 和外网断开就行了，别的复杂的设置我也不会。

顺带一句很多年前开网吧的时候，一台中了熊猫烧香病毒后全网吧都中招，幸好就服务器中了，别的客户电脑都装了还原精灵或者冰点还原的，只要搞定服务器就行了。现在的后起之秀都没听说过熊猫烧香了。最厉害远古病毒还属 CIH 病毒，风靡一时，专门搞坏 BIOS 硬件......

esee

Nov 15, 2025

密码强弱和长度没有必然的联系,可能你的密码是哪个单词或者比较多人用在密码表里,也可能泄露的,如果只在局域网用,那你限定登录的 ip 段,如果想暴露外网建议使用 vpn

AkinoKaedeChan

Dec 6, 2025

暴露公网的服务 2FA 的话，怕本身就有漏洞，我一般是 mTLS 验证客户端，这样除非 TLS 实现有漏洞或私钥泄漏，不然扫描都扫描不了。