談企業資安,多數老闆會想到防火牆、防毒、入侵偵測——防的是「外面打進來」。但近兩年讓台灣中小企業真正付出慘痛代價的,往往是辦公室角落那台 Synology 或 QNAP NAS。它存著公司的設計圖、財務檔、客戶資料,卻常常直接對外開著管理介面、韌體好幾年沒更新、備份就放在同一台機器的另一個資料夾。
某天早上開機,所有檔案副檔名都被改成 .encrypt、.deadbolt 之類的怪東西,桌面躺著一封要你付比特幣的勒索信——這不是假設,而是 Qlocker、DeadBolt、eCh0raix 這幾年在台灣 NAS 上真實上演過的劇本。更糟的是,2026 年的勒索程式學聰明了:它會先刪掉你的快照和備份,再開始加密。等你想救,發現連救命的副本都沒了。
這篇文章用企業 IT 維運商的中立角度,跨 Synology 與 QNAP 兩個品牌,把「NAS 勒索病毒」這件事從事前防護、事中應變到事後復原講清楚,並收斂成一套你今天就能照著盤的決策框架。
一、為什麼 NAS 成了勒索集團的頭號目標?
NAS 的處境很尷尬:它像伺服器一樣存著核心資料、24 小時開機、常常直接連網際網路,卻很少裝端點防護(EDR)、也很少有人天天盯著它的日誌。對攻擊者來說,這是一塊高價值、低戒備的肥肉。
幾個結構性原因,讓 NAS 風險被系統性低估:
- 直接暴露在網路上的數量驚人。 Palo Alto Unit 42 的調查指出,至少有約 25 萬台 QNAP/Synology NAS 直接暴露於網際網路,其中絕大多數為 QNAP。直接對外開放管理介面,等於把保險箱放在馬路邊。(此為 Unit 42 較早期的統計,引用旨在佐證「直接對外開放 NAS 的風險普遍」,非即時數字。)
- 邊緣設備缺乏遙測。 Google 與多家資安廠商在 2026 年的趨勢報告都指出,VPN、防火牆、NAS 這類「缺 EDR 遙測」的邊緣設備,已成為國家級與勒索集團最愛的初始入侵管道——因為它們被攻破時,幾乎不會在端點防護的雷達上留下痕跡。
- 備份與資料同處一機。 很多人以為「NAS 有開快照=有備份」,但快照跟原始資料在同一台儲存系統上,整機被加密、損毀、失竊或遭遇火災,快照會跟著一起沒。
Synology 中毒、QNAP 勒索的真實事件簿
這些不是理論威脅,而是已發生的攻擊:
- eCh0raix(QNAPCrypt):自 2020 年 9 月起的變種同時鎖定 QNAP(透過漏洞)與 Synology(暴力破解 admin 帳號),以 AES-CFB 加密檔案、附加
.encrypt副檔名。 - Qlocker、DeadBolt:曾在台灣造成多波 QNAP 大規模災情,DeadBolt 利用韌體漏洞自動化攻擊,受害者一開檔案管理介面就看到勒索畫面。
- Akira(2026):iThome 在 2026 年 1 月報導,有企業 NAS 遭 Akira 鎖定,並且連備份資料一起被抹除——這正是「先刪備份再加密」新打法的典型案例。
把 NAS 管理介面直接對外開放,等於每天在被掃描。勒索集團用自動化工具全網掃描暴露的 NAS、比對已知漏洞,整個過程不需要人工。你的 NAS 韌體只要落後一個有公開漏洞的版本,被打中只是時間問題。第一要務永遠是:不要把 NAS 管理介面直接掛在公網上。
二、別等中毒才知道:2025–2026 最新攻擊面
NAS 的攻擊面一直在變,光靠「裝個防毒」遠遠不夠。把最新的幾個威脅放在眼前,才知道防護該往哪裡加。
1. 韌體 0-day:修補速度就是生死線
2025 年 10 月的 Pwn2Own Ireland 黑客競賽上,QNAP 一口氣被攻破 7 個 0-day 漏洞,廠商在 2025 年 10 月底至 11 月初緊急釋出修補,影響 QTS、QuTS hero 作業系統以及 HBS 3(Hybrid Backup Sync)、Hyper Data Protector、Malware Remover 等多個套件。
修補版本要特別注意涵蓋三條韌體分支:
- QTS 修補於 5.2.7.3297(build 20251024)
- QuTS hero h5.2 分支修補於 h5.2.7.3297(build 20251024)
- QuTS hero h5.3 分支修補於 h5.3.1.3292(build 20251024)
換句話說,跑 h5.3 韌體的機器要更新到 h5.3.1.3292 才算安全,別看到 5.2.7.3297 就以為自己不在範圍內。Synology 這邊也持續發布資安公告(如 SA-25:13 對應 Synology Contacts 套件的 XSS 漏洞,於 2025 年 11 月發布、2026 年 5 月才補完細節)。官方公告會持續更新,發布或盤點時請以原廠 advisory 頁的最新版本號為準。
2. 「先刪備份/快照,再加密」成為標配
2026 年勒索趨勢最關鍵的轉變:攻擊者不再一進來就無腦加密,而是先癱瘓端點防禦、刪除所有網路可達的備份與快照,確保你無路可退之後,才開始加密勒索。EDR killer 與 BYOVD(自帶有漏洞驅動程式)已成為標準工具。
這直接打臉「我有做備份就沒事」的安全感——如果你的備份庫網路上連得到、權限上刪得掉,它在攻擊者眼中跟主資料沒兩樣。
3. 純資料外洩勒索與 AI 化攻擊
由於越來越多企業靠備份硬扛、拒付贖金(Kaspersky 指出 2025 年贖金實付比例已跌至約 28%),部分集團轉向「不加密、純偷資料外洩」的勒索模式:直接把你的客戶資料、合約偷走,威脅公開。AI 也讓掃描儲存漏洞、客製化攻擊變得更快更精準。
三、殘酷的數字:為什麼「有備份」已經不夠
如果只能記住這篇文章的一個重點,就是這個:「有備份」和「能還原」是兩回事。
Sophos 在 2025 年的《State of Ransomware》調查揭露了一個反直覺、卻極具警示性的數據:
| 指標(Sophos 2025,asOf 2025) | 數值 | 代表的意義 |
|---|---|---|
| 用備份成功還原資料的比例 | 僅 54% | 六年來最低、連三年下滑——「有備份」越來越救不回 |
| 最終救回資料的比例 | 97% | 但其中… |
| 是「付了贖金」才拿回的比例 | 49% | 近半數是花錢買回,不是靠自己的備份 |
| 平均復原成本(不含贖金) | 約 150 萬美元 | 較 2024 年的約 273 萬美元下降,但仍是企業難以承受之重 |
備份成功率跌到 54%,根本原因正是前面說的:太多企業的備份跟主資料在同一個網段、同一台 NAS、用同一組權限管理,勒索程式一進來就一起端掉。其他可引用的產業數字也同樣沉重——勒索軟體事件的平均總成本約 508 萬美元(IBM Cost of a Data Breach 2025,為該報告中勒索軟體事件專屬均值,非全類型外洩平均)、全球勒索年損失 2025 年估計達 570 億美元(Cybercrime Magazine,約每分鐘 10.9 萬美元)。
結論很清楚:你需要的不是「一份備份」,而是「一份攻擊者刪不掉的備份」。這就是不可變(immutable)與離線(air-gapped)備份的價值所在——它把「能不能還原」這件事,從靠運氣變成靠設計。
四、企業級 NAS 防護的三大支柱
把防護拆成三層來建,缺一不可:讓壞人進不來、進來也刪不掉副本、出事能即時發現並還原。
支柱一:不可變快照(讓備份「刪不掉」)
Synology 在 DSM 7.2 之後標準化了不可變快照(WORM, Write Once Read Many):啟用後,在保留期內即使攻擊者取得了管理員權限,也無法刪除快照或縮短保留期(系統設計上禁止關閉保護)。這正是對抗「先刪快照再加密」打法的關鍵武器。
實務上要注意:
- 設定合理的保留期:依資料重要性與機型支援,一般落在 7 至 14 天,高安全環境可拉長至 30 天。設定前先確認你的機型與 DSM/QTS 版本是否支援不可變快照。
- 不可變不是萬靈丹:它只能防「快照被刪除」,無法防「整個儲存池被摧毀」(被格式化、實體損毀、失竊、火災)。所以它必須搭配下一個支柱。
- QNAP 也要善用快照與 Malware Remover:啟用快照、定期用 Malware Remover 掃描、並保持 HBS 3、Multimedia Console 等套件更新到修補版本。
支柱二:3-2-1-1-0 異地備份(讓副本「跑得掉」)
經典的 3-2-1 法則(3 份副本、2 種媒體、1 份異地)是基礎,連 Synology 官方都採用。但面對會刪備份的勒索,2026 年的標準要升級成 3-2-1-1-0:
| 數字 | 含義 | NAS 場景的落實 |
|---|---|---|
| 3 | 至少 3 份資料副本 | 主資料 + 本地快照 + 異地備份 |
| 2 | 存於 2 種不同媒體 | NAS 硬碟 + 雲端物件儲存/外接碟 |
| 1 | 至少 1 份異地存放 | 異機房、雲端或實體搬離現場 |
| 1 | 至少 1 份不可變或離線 | WORM 快照、雲端 Object Lock、air-gapped 外接碟 |
| 0 | 0 個未經驗證的備份 | 定期實際測試還原,確保備份可用 |
關鍵在於最後那個「1」和「0」:一份不可變或實體隔離的副本,加上定期演練還原。沒測過的備份,等於沒有備份——這也是 Sophos 那 54% 還原成功率的另一個解讀。想完整理解這套思路,可參考我們的〈3-2-1 備份策略完整指南〉與〈企業備份策略怎麼規劃〉。
2026 年的實務組合範例:本地 NAS 開啟版本化快照(盡量設不可變)+ 雲端物件儲存開啟 Object Lock 做異地不可變副本 + 一份季度輪替、平時離線存放在公司以外地點的外接硬碟。
支柱三:零信任存取(讓壞人「進不來」)
防勒索不能只防到資料層,更要從「不讓攻擊者碰到 NAS 管理介面」做起。原廠與實務通用的硬化建議:
- 絕不直接對外開放 IP/管理埠:改用 Reverse Proxy(DSM 7、QTS 皆支援)或更進一步用 ZTNA(零信任網路存取) 取代傳統把 NAS 直接掛公網或開 VPN 全通。
- 關閉一切不必要的連接埠與服務:開埠最小化,用不到的就關。
- 強制多因素驗證(2FA/MFA)+ 自動封鎖:短時間多次登入失敗就自動封鎖該來源 IP 一段時間,擋暴力破解。
- 集中存取控制與帳號治理:用目錄服務集中管理帳號、落實最小權限,避免共用 admin 帳號。
- 早期偵測:把 NAS 與防火牆日誌送進 SIEM/SOC 集中監控,在「先刪備份」那一刻就抓到異常登入與大量檔案變更,而不是等檔案全被加密才發現。
NAS 與儲存架構的選型脈絡,也可延伸閱讀〈SAN vs NAS 怎麼選〉;想把整套勒索防禦串成體系,〈企業勒索病毒防禦完整指南〉有更全面的拆解。
五、決策框架:你的 NAS 防護健檢清單
不確定自家 NAS 處在什麼防護水準?用下面這份清單逐項打勾,紅燈越多、風險越高:
| 檢核項目 | 達標標準 | 沒做到的風險 |
|---|---|---|
| 管理介面是否對外開放? | 已關閉直連,改 Reverse Proxy/ZTNA | 🔴 全網掃描的首要目標 |
| 韌體與套件是否最新? | QTS/QuTS hero/DSM 與 HBS 等已更新到修補版 | 🔴 0-day 自動化攻擊入口 |
| 是否啟用 2FA 與自動封鎖? | 全管理帳號 2FA、登入失敗自動封鎖 | 🟠 暴力破解直接得手 |
| 是否啟用不可變快照? | DSM 7.2 WORM/QNAP 快照,保留 7–14 天 | 🔴 攻擊者可一鍵刪光快照 |
| 是否有異地+離線備份? | 符合 3-2-1-1-0,至少 1 份刪不掉 | 🔴 連備份一起被加密=歸零 |
| 備份是否定期測試還原? | 至少每季實際演練還原 | 🟠 真要用時才發現備份壞了 |
| 是否監控異常登入/檔案變更? | NAS 日誌進 SIEM/SOC 告警 | 🟠 加密完成才發現,為時已晚 |
| 是否有書面的事故應變流程? | 斷網、保全、還原、通報步驟成文 | 🟠 慌亂中誤操作毀掉唯一快照 |
只要「管理介面對外」「無不可變快照」「無異地離線備份」這三項任一中招,就應該列為最優先處理。 它們是「中毒=資料歸零」的三條必經之路。
六、萬一真的中了:第一時間怎麼處理
即使防護做足,仍要有「中了怎麼辦」的劇本。慌亂中的錯誤操作,常常比勒索本身更致命:
- 立刻斷網、隔離:拔網路線或移除預設閘道,把中毒 NAS 與網際網路、內網都隔離,阻止橫向擴散。先別重開機、別格式化、別急著付贖金。
- 保全現場:保留勒索訊息、被加密的樣本與日誌,供事後鑑識與通報之用。
- 確認快照狀態:用 Snapshot Manager 檢查是否有「未被加密的有效快照」。QNAP 官方明確指出——若沒有有效快照,被加密的檔案通常無法解密。這也再次印證:不可變備份是你最後、也最可靠的籌碼。
- 從乾淨備份還原:在確認入侵源已清除、系統重新初始化並更新到最新版後,才從可信的離線/不可變備份還原。
- 找專業團隊協助:沒有專責 IT 時,貿然操作很可能把唯一能救的快照也毀掉。完整的事中事後步驟,可參考〈勒索病毒復原處理手冊〉。
不建議付贖金。付了不保證拿回資料(Sophos 數據顯示仍有大量付款者沒能完整復原),更會讓你成為「願意付錢」的標記,引來下一波攻擊。把錢與時間投在「攻擊者刪不掉的備份」上,遠比賭一個解密金鑰划算。
結語:把 NAS 從「資料黑洞」變成「可被治理的資產」
NAS 防勒索的本質,不是買哪一台機器、裝哪一款防毒,而是一套架構先行、可被治理的紀律:管理介面不對外、韌體即時更新、快照設成刪不掉、備份備到攻擊者碰不到、還原定期演練、異常即時告警。每一項單獨看都不貴,串起來卻能把「中毒=公司歸零」的最壞情境,降級成「還原一下、損失幾小時」。
凱茂資訊(凱茂資訊股份有限公司,成立於 2009 年)長期協助台灣企業建置企業儲存與備份/災難復原(DR)、零信任資安(ZTNA/EDR/XDR/SIEM/SOC) 與年度維運 SLA,並提供不可變備份代管、定期還原演練與 NAS 防勒索健檢服務;在 ISO 27001/42001 導入輔導與 BCP/DR 規劃上也有豐富實務經驗。
如果你不確定公司那台 Synology 或 QNAP 現在到底有多少破口,歡迎從一次NAS 防勒索健檢開始:先做〈勒索病毒風險評估〉快速摸底,或直接了解我們的〈企業勒索病毒防護解決方案〉。也歡迎來電 04-2375-8388 或來信 service@kmau.com.tw,由顧問針對你的儲存與備份現況,給出可落地的 3-2-1-1-0 升級路徑——讓那台存著公司命脈的 NAS,從最大的破口變成最被信任的防線。