發布:2021-04-22|最後更新:2026-07-11
2021 年 Qlocker 勒索病毒大規模攻擊 QNAP NAS,短時間內把全球數千台 NAS 的檔案改成 .7z 加密壓縮檔,黃SIR當時第一線遇到大量受害客戶,緊急整理出防疫步驟。五年過去,NAS 勒索病毒不但沒有消失,攻擊手法還持續在演化——這篇文章把當年的實戰步驟原汁原味保留,更新到 2026 年現況,並補上當年承諾但一直沒寫的 Synology(S牌)對應設定。
本文重點摘要
- NAS 中勒索病毒的共通破口:對外服務曝露(UPnP、DDNS)、預設連接埠、admin 帳號密碼太簡單
- QNAP 與 Synology 都有對應的防疫設定步驟,本文兩牌都涵蓋
- 3-2-1 備份原則是最後一道防線:就算中毒也能還原,不用付贖金
- 萬一已經中毒,第一步是斷網保留現場,而不是急著格式化重灌
適合閱讀對象
家中或公司有使用 NAS 儲存重要資料的人、擔心勒索病毒攻擊的中小企業 IT 負責人、已經設定 NAS 對外連線但沒特別做過資安強化的用戶
不確定自己的 NAS 有沒有暴露風險?加 LINE 傳你的 NAS 品牌與型號,我們先幫你初步檢查對外服務設定 → 加 LINE 諮詢
NAS 為什麼會中勒索病毒?(Qlocker 事件回顧)
一個好懂的比喻:把 NAS 直接對外開放服務,就像把家裡大門鑰匙孔換成透明玻璃還貼上門牌號碼——駭客不用闖進來,只要按照公開的位址挨家挨戶敲門測試,找到沒鎖好的那一戶。2021 年的 Qlocker 事件就是駭客利用大量 NAS 使用者共用的 myQNAPcloud 網域規則(xxx.myqnapcloud.com),寫程式大量掃描哪些 NAS「活著」並嘗試已知漏洞入侵,短時間內造成大量用戶的資料被加密成 .7z 壓縮檔。
當年黃SIR第一線遇到很多客戶的 NAS 中鏢,資料全部被改成附檔名 .7z 的加密壓縮檔,束手無策。以下是當時整理、並延用至今仍然有效的防疫步驟。
QNAP 防疫 5 步驟(黃SIR原始步驟,2026 更新)
1. 關閉不必要的對外連線
在控制台搜尋「myqnapcloud」,進入應用程式後,把用不到的對外服務逐一關閉:
- 啟用 UPnP 連接埠轉送:UPnP 會讓 NAS 直接向路由器發送指令開啟對外連接埠,中毒後容易被開更多後門,建議關閉
- My DDNS:QNAP 提供的免費 DDNS(xxx.myqnapcloud.com)因為所有用戶網域規則相同,容易被駭客用字典法大量掃描,用不到就關閉
- myQNAPcloud Link:透過 P2P 連線回 NAS 雖然方便,但網址同樣有固定規則(qlink.to),非必要建議關閉
2. 更換 NAS 預設連接埠
QNAP 預設連接埠是 8080,等於門沒鎖直接讓人進來。建議在「控制台 → 一般設定 → 系統連接阜」改成不常見的埠號(例如避開常用服務埠),改完之後不論用 myQNAPcloud 或內網 IP 連線,網址後面都要加上「:連接埠號」才能連上。
3. 防堵帳號密碼被猜中
NAS 出廠預設帳號密碼是 admin/admin,很多使用者即使看到警告提示也懶得改,這是駭客最愛嘗試的第一組帳密。建議做兩件事:
- IP 存取保護:控制台 → 安全設定,設定「30 分鐘內登入失敗 5 次,封鎖 1 天」,短時間內大量嘗試密碼的行為會被自動阻擋
- 停用 admin 帳號:新建一個跟 admin 同權限的新帳號,登入測試沒問題後,把原本的 admin 帳號停用,避免駭客鎖定最高權限帳號攻擊
4. 保持更新
NAS 上跑的服務越多(虛擬機、Linux、Container、Mail Server),潛在漏洞就越多,建議在「設定 → 韌體更新」保持更新正式版(不建議用 beta 版),並在 App Center 搜尋安裝「Malware Remover」定期掃描惡意程式。
5. 定期檢查對外服務清單
建議至少每季檢查一次「控制台 → 應用程式」,確認沒有新安裝的服務又把對外連線悄悄打開,這是實務上最容易被忽略、也最常讓前面 4 步防護破功的環節。
Synology(S牌)對應防疫設定
2021 年原文提到「S牌會在後續補上」,這裡完整補齊。Synology DSM 的邏輯跟 QNAP 相同,只是選單位置不同,對照如下:
| 防護項目 | QNAP(QTS) | Synology(DSM) |
|---|---|---|
| 關閉 UPnP 連接埠轉送 | myQNAPcloud 應用程式 | 控制台 → 外部存取 → 路由器設定,取消勾選 UPnP |
| 關閉/停用預設 DDNS | myQNAPcloud | 控制台 → 外部存取 → DDNS,停用不需要的服務 |
| 更改預設連接埠 | 控制台 → 系統連接阜 | 控制台 → 網路 → DSM 設定,變更 HTTP/HTTPS 連接埠 |
| 登入失敗自動封鎖 | 控制台 → 安全設定 | 控制台 → 安全性 → 帳戶,啟用「自動封鎖」 |
| 停用/限制 admin 帳號 | 設定 → 使用者 | 控制台 → 使用者與群組,停用預設 admin 帳號 |
| 惡意程式掃描 | App Center → Malware Remover | 套件中心 → Security Advisor / Antivirus Essential |
兩個品牌的核心邏輯完全一致:降低對外曝露、關掉用不到的服務、帳號密碼不能猜、系統要更新,只是選單路徑不同,設定時對照上表即可。
3-2-1 備份原則:防疫的最後一道防線
前面的防護設定可以大幅降低被攻擊的機率,但沒有任何防護是 100%,真正能保證「中毒也不怕」的是備份策略。業界公認的 3-2-1 原則:至少保留 3 份資料副本、存放在 2 種不同媒介(例如 NAS + 外接硬碟)、其中 1 份異地備份(例如另一台 NAS 放在不同地點,或雲端儲存)。NAS 內建的排程快照功能也建議開啟,一旦中毒可以快速還原到加密前的版本,不用整批資料重新來過。
萬一已經中毒了,該怎麼處置?
如果檔案已經被加密成 .7z 或其他不明副檔名,優先順序是:
- 立即斷網:先拔網路線或關閉對外連線,避免加密行為持續擴散或二次攻擊
- 不要急著格式化重灌:保留現場,部分勒索病毒事件原廠事後會釋出解密工具,格式化會讓機會歸零
- 檢查是否有快照或異地備份:如果有開啟快照,優先嘗試還原到中毒前的時間點
- 聯絡原廠或專業資安協助:確認病毒株與可能的解密方式,不建議直接支付贖金(無法保證解密,且可能助長攻擊)
以上步驟是黃sir與蓋斯克科技團隊多年協助客戶處理 NAS 問題累積的實務經驗,希望大家的 NAS 都頭好壯壯,平安不中鏢。若還有遇到相關問題,歡迎聯絡蓋斯克科技。
立即開始:NAS 資安不能等中毒才處理
蓋斯克科技提供 NAS 建置、資安健檢與備份策略規劃服務,QNAP、Synology 雙品牌都有實務經驗。
我們提供:
- NAS 對外服務曝露檢查與資安設定健檢
- 依你的資料重要程度規劃 3-2-1 備份與異地備援方案
- QNAP / Synology 雙品牌建置與維護經驗
- 透明報價,無隱藏費用
你的 NAS 資料,經得起下一波勒索病毒攻擊嗎?
蓋斯克科技累積多年 NAS 建置與資安處置經驗,提供健檢、備份規劃與緊急處置協助。
查看 IT 委外服務 免費預約諮詢電話:02-2717-1019 LINE:@zonetech
延伸閱讀:QNAP vs Synology 怎麼選(2026)|企業 NAS 建置費用要多少?|資訊安全三要素 CIA 是什麼?|IT 委外服務|設備租賃方案





