WD My Book NAS 裝置正在全球範圍內被遠端擦除

宣告怎麼解釋

全球西部資料 My Book NAS 使用者發現他們的裝置被神秘地恢復出廠設定並刪除了所有檔案。

WD My Book 是一種網路連線的儲存裝置，它看起來像一本可以站在辦公桌上的小型桌上型電腦。WD My Book Live 應用程式允許所有者遠端訪問他們的檔案和管理他們的裝置，即使 NAS 位於防火牆或路由器之後。

今天，世界各地的WD My Book 使用者突然發現他們的所有檔案都被神秘刪除了，他們無法再透過瀏覽器或應用程式登入裝置。

當他們嘗試透過 Web 儀表板登入時，裝置宣告他們的密碼“無效”。

“我有一臺 WD My Book 實時連線到我的家庭區域網並且工作正常多年。我剛剛發現不知何故今天它上面的所有資料都消失了，而目錄似乎在那裡但為空。以前 2T 卷幾乎已滿，但現在它顯示出全部容量，”WD My Book 所有者在西部資料社群論壇上報告說。

“更奇怪的是，當我嘗試登入控制 UI 進行診斷時，我只能使用“所有者密碼”的輸入框進入此登入頁面。我嘗試了預設密碼“admin”以及什麼，提示無效。”

My Book 裝置發出恢復出廠設定命令

在進一步的所有者確認他們的裝置遇到了同樣的問題後，所有者報告說，MyBook 日誌顯示裝置收到了一個遠端命令，要求從昨天下午 3 點左右開始執行恢復出廠設定，一直持續到晚上。

“我今天在這個驅動器的 user。log 中發現了這個：Jun 23 15：14：05 My BookLive factoryRestore。sh：開始指令碼：Jun 23 15：14：05 My BookLive shutdown［24582］：關閉系統重啟Jun 23 16：02：26 My BookLive S15mountDataVolume。sh： begin script： startJun 23 16：02：29 My BookLive _： pkg： wd-nasJun 23 16：02：30 My BookLive _： pkg：network-generalJun 23 16：02：30 My BookLive _： pkg： apache-php-webdavJun 23 16：02：31 My BookLive _： pkg： date-timeJun 23 16：02：31 My BookLive _： pkg： alertsJun 23 16： 02：31 我的 BookLive 記錄器：hostname=My BookLiveJun 23 16：02：32 My BookLive _： pkg： admin-rest-api我相信這就是為什麼會發生這種情況的罪魁禍首……此時甚至沒有人在家使用此驅動器……”

與通常連線到 Internet 並受到QLocker Ransomware等攻擊的 QNAP 裝置不同，Western Digital My Book 裝置儲存在防火牆後面，並透過 My Book Live 雲伺服器進行通訊以提供遠端訪問。

一些使用者表示擔心西部資料的伺服器被駭客入侵，以允許威脅行為者向連線到該服務的所有裝置推送遠端恢復出廠設定命令。

如果威脅行為者擦除裝置，這很奇怪，因為沒有人報告贖金票據或其他威脅，這意味著攻擊只是具有破壞性。

如果您擁有 Western Digital My Book NAS 裝置，強烈建議您將其與網路斷開連線，直到我們瞭解有關正在發生的事情的更多資訊。

美國東部時間下午 5 點 45 分更新：西部資料告訴 BleepingComputer，他們正在積極調查這些攻擊，但不相信這是他們伺服器的妥協。

他們認為攻擊是在一些 My Book 所有者的帳戶遭到入侵後進行的。

“Western Digital 已確定某些 My Book Live 裝置受到惡意軟體的攻擊。在某些情況下，這種攻擊會導致恢復出廠設定，似乎會擦除裝置上的所有資料。My Book Live 裝置收到了最終的韌體更新在 2015 年。我們瞭解客戶的資料非常重要。此時，我們建議您斷開 My Book Live 與 Internet 的連線以保護您在裝置上的資料。我們正在積極調查，我們將在此執行緒中提供更新他們是可用的。”

-西部資料

然而，他們的宣告並沒有解釋如何大約在同一時間破壞了這麼多帳戶。

BleepingComputer 已向西部資料傳送了有關攻擊的進一步問題。