在数字化时代，Synology NAS 作为个人与企业的核心数据存储中心，已成为勒索软件的重点攻击目标 —— 攻击者通过漏洞入侵、弱密码破解等方式植入恶意程序，将 NAS 中的文件加密（如添加.xxx、.locky 等后缀），并留下勒索信索要赎金，若未及时应对，可能导致数年积累的照片、文档、业务数据永久丢失。当Synology NAS 遭遇勒索软件攻击时，慌乱支付赎金并非解决方案（官方明确不建议，且未必能恢复数据），正确做法是 “先止损、再恢复、后加固”。本文基于 Synology 官方技术指南，针对 DSM 7.0 及以上版本，从攻击识别、应急处理、数据恢复到长期加固，提供完整应对方案，帮助用户最大限度减少损失。

快速验证方法：在 DSM 中打开「File Station」，查看核心文件夹（如 “文档”“照片”）是否有上述后缀变更或勒索信；同时进入「日志中心→安全→登录日志」，排查近 24 小时是否有异常登录记录。

• 物理断网（推荐，最彻底）：直接拔掉 NAS 背后的网线（若为多网口 NAS，需拔掉所有网线），确保 NAS 与互联网、局域网完全隔离；

• 软件断网（若无法物理操作，如远程管理）：登录 DSM→「控制面板→网络→网络界面」→选中当前连接的网卡（如 “LAN 1”）→点击「停用」，等待 10 秒后确认 “状态” 变为 “已停用”；

注意：断网后不要重启 NAS，避免恶意程序重启后触发新的加密指令。

1. 勒索信文件：在「File Station」中找到勒索信（如 “HOW_TO_RESTORE.txt”），右键→「下载」保存到本地电脑，不要修改文件名或内容；

2. 加密文件样本：选择 2-3 个不同类型的加密文件（如 1 个文档、1 个照片、1 个视频），下载到本地，用于后续尝试解密或分析加密算法；

3. DSM 系统日志：登录 DSM→「日志中心」→点击「导出日志」→勾选 “安全日志”“系统日志”“文件操作日志”→选择保存路径（本地电脑），日志时间范围选择 “近 72 小时”（覆盖攻击前后）。

• 支付后未必能拿到解密密钥：攻击者可能收赎金后失联，或提供无效密钥；

• 助长攻击行为：支付赎金会让攻击者认为该目标 “可盈利”，可能再次攻击；

• 法律风险：部分国家（如美国）禁止向境外黑客组织支付赎金，可能涉及违法；

替代方案：优先通过 Synology 官方备份工具（如 Hyper Backup、Snapshot Replication）恢复数据，或联系 Synology 技术支持（提供步骤 2 保存的证据）获取协助。

1. 排查文件加密范围：在「File Station」中按 “修改时间” 排序，查看近 24-48 小时内被修改的文件（通常为加密文件），记录受损文件夹（如 “/volume1 / 文档”“/volume1/photo”）；

2. 检查系统服务状态：进入「控制面板→服务」，查看 File Station、Synology Photos、Hyper Backup 等核心服务是否正常，若显示 “已停止” 且无法启动，记录为 “受损服务”；

3. 统计关键数据：列出被加密的关键文件类型（如 “财务报表”“客户资料”“家庭照片”），优先恢复此类数据，非关键文件可后续处理。

1. 登录 DSM→打开「Snapshot Replication」→「快照」标签页；

2. 在左侧选择受损的共享文件夹（如 “文档”），右侧会显示所有快照版本，按 “创建时间” 排序，选择 “攻击前最近的快照”（如攻击发生在 5 月 20 日 14:00，选择 5 月 20 日 10:00 的快照）；

3. 右键点击该快照→选择「恢复」→在 “恢复选项” 中勾选「恢复整个共享文件夹」→点击「下一步」；

4. 系统提示 “恢复会覆盖当前文件夹，是否继续”，确认无误后点击「应用」；

5. 等待恢复完成（进度条 100%），恢复后打开「File Station」，确认文件后缀已恢复正常，且可正常打开。

1. 确保备份设备（如 USB 硬盘、异地 NAS）已连接到当前 NAS（或处于同一局域网）；

2. 打开「Hyper Backup」→「任务列表」→找到对应受损文件夹的备份任务（如 “备份文档到 USB”）；

3. 右键点击任务→选择「恢复」→在 “恢复类型” 中选择「完整恢复」（恢复整个文件夹）或「文件级恢复」（仅恢复关键文件）；

4. 选择恢复版本：在 “备份版本” 列表中选择 “攻击前的版本”（如 5 月 19 日 23:00 的备份）；

5. 选择恢复目的地：建议恢复到 “新文件夹”（如 “/volume1 / 文档_恢复”），避免覆盖可能未加密的文件；

6. 点击「应用」启动恢复，恢复时间取决于数据量（100GB 数据约 30-60 分钟），完成后验证文件可用性。

1. 准备一个空白 U 盘（8GB 以上），格式化为 FAT32 格式，创建名为 “CONFIG_RESTORE” 的文件夹；

2. 将步骤 2 中导出的 “DSM 配置备份文件”（.dss 文件）复制到该文件夹；

3. 将 U 盘插入 NAS 的 USB 接口，重启 NAS，待 NAS 启动时按住「Reset」按钮（约 3 秒），直到听到 “嘀” 声，系统会自动读取 U 盘配置并恢复；

4. 恢复完成后，NAS 会自动重启，登录 DSM 确认核心服务（如 File Station）已恢复正常，再按方案 1/2 恢复数据。

特殊情况：若未创建任何备份，可尝试联系 Synology 官方技术支持（通过「控制面板→支持中心→提交支持请求」），提供攻击证据，部分情况下官方可协助分析加密算法，但恢复成功率较低（约 10-15%）。

1. 登录 DSM→「控制面板→更新与还原→更新设置」；

2. 点击「检查更新」，下载并安装 DSM 最新版本（如 DSM 7.2.1-69057 Update 3）；

3. 打开「Package Center→已安装」，点击「更新全部」，升级所有套件（尤其是 Active Backup for Business、Synology Photos、File Station）；

4. 启用 “自动更新”：在「更新设置」中勾选「启用自动更新 DSM」「启用自动更新已安装的套件」，更新时间设为 “凌晨 3 点”（低负载时段）。

1. 双因素认证：进入「控制面板→用户与群组→选择 admin 账户→编辑→安全」→勾选「启用双因素认证」，通过 Google Authenticator 绑定手机，后续登录需 “密码 + 动态验证码”；

2. 强密码策略：进入「用户与群组→设置→密码策略」→勾选「密码长度至少 8 位」「包含大小写字母、数字、特殊字符」「90 天强制更换密码」「禁止使用前 5 次密码」；

3. 禁用默认账户：进入「用户与群组」，找到 “guest” 账户→「编辑→状态→禁用此用户」；若已创建自定义管理员账户，可禁用默认 “admin” 账户。

1. 进入「控制面板→安全性→防火墙」→勾选「启用防火墙」；

2. 点击「防火墙规则→创建」，按 “允许必要服务，拒绝其他” 创建规则，推荐规则如下：

3. 点击「应用」，确保防火墙规则生效（测试：用陌生 IP 尝试访问 DSM，应提示 “无法连接”）。

1. 使用 QuickConnect：进入「控制面板→QuickConnect」→启用后，通过 “QuickConnect ID” 远程访问，无需端口转发；

2. 配置 QuickConnect 限制：点击「高级设置」→勾选「限制可通过 QuickConnect 访问的应用」，仅保留 “DSM”“Hyper Backup”，关闭其他应用；

3. 禁止端口转发：登录家庭路由器，删除 NAS 相关的端口转发规则（如 5000、5001、80、443）；若必须远程访问，通过 VPN（如 OpenVPN）连接，步骤：「控制面板→网络→VPN 服务器→启用 OpenVPN」，远程设备通过 VPN 客户端接入局域网后访问 NAS。

• 3 个数据副本：原数据（NAS 本地）+ 本地备份（如 USB 硬盘）+ 异地备份（如异地 NAS、公有云）；

• 2 种存储介质：本地备份用 USB 硬盘，异地备份用云存储（如阿里云 OSS，通过 Hyper Backup 备份）；

• 1 个异地副本：异地备份设备与本地 NAS 物理位置不同（如办公室 NAS 备份到家里的 NAS），应对区域性灾难；

备份频率：核心数据（如财务报表）每日 1 次增量备份，全量备份每周 1 次；非核心数据（如照片）每周 1 次增量备份，全量备份每月 1 次。

1. 进入「控制面板→日志中心→日志设置」→勾选 “安全日志”“系统日志”“文件操作日志”，日志保留时间设为 “30 天”；

2. 配置告警通知：进入「控制面板→通知中心→通知设置」→勾选「安全事件」「系统事件」，通知方式选择 “邮件”“手机短信”（绑定手机号）；

3. 重点监控事件：设置 “异常登录”（10 分钟内 5 次登录失败）、“批量文件修改”（1 分钟内 100 个文件被重命名）、“服务异常停止” 等事件触发告警，确保第一时间发现潜在攻击。

• 官方回复：绝大多数勒索软件采用 AES-256、RSA 等强加密算法，无密钥无法解密，不建议尝试网上的 “免费解密工具”（多为恶意软件）；优先通过备份恢复，若无备份，可提交攻击证据给 Synology 技术支持，部分旧版勒索软件有官方解密工具。

• 官方建议：先将加密文件移动到 “临时文件夹”（如 “/volume1 / 加密文件_待处理”），不要立即删除；待确认恢复的数据完整可用（如 1 周后无问题），再批量删除加密文件，避免误删未恢复的关键数据。

• 不会。QuickConnect 通过 Synology 官方服务器转发流量，不依赖端口转发，防火墙规则中无需额外开放端口，仅需确保 DSM 的 “QuickConnect 服务” 正常运行（「控制面板→QuickConnect」状态为 “已启用”）。

• 官方推荐：可通过 Hyper Backup 将核心数据备份到公有云（如阿里云 OSS、腾讯云 COS），步骤：打开 Hyper Backup→「创建」→选择 “云服务”→输入云服务商 API 密钥→选择备份文件夹，成本低且实现异地存储。

1. 应急阶段：5 分钟内断网，保存证据，不支付赎金，避免攻击扩散；

2. 恢复阶段：优先用快照（最快）、Hyper Backup（最通用）恢复数据，无备份则寻求官方支持；

3. 加固阶段：更新系统、强化账户、配置防火墙、限制远程访问、建立 3-2-1 备份，从根本上堵住漏洞。