Recientemente, se ha llevado a cabo una gran campaña de ransomware que tiene como objetivo cifrar los datos de los usuarios que utilizan dispositivos de la marca QNAP.

​

Los atacantes usan malware, un script o simplemente 7-zip para cifrar archivos o comprimir datos en archivos protegidos con contraseña.

​

​

​

​

​

​

​

​

​

​

El ransomware que ha estado aterrorizando a los usuarios de QNAP desde el 1 de abril del año pasado se identifica como Deadbolt, Qlocker, eCh0raix. Qlocker.

Por ejemplo, como explicaron colegas decomputadora pitido, el ransomware podría usar 7-zip para mover todos los datos del usuario a archivos comprimidos y protegidos con contraseña.

​

Mientras el ataque de uno de estos malwares está en curso, el administrador de recursos de QNAP NAS muestra varias instancias de un número aleatorio de secuencias de comandos/programas o instancias de 7-zip (7z) que se ejecutan desde la línea de comandos.

​

​

​

 

 

 

 

 

 

 

 

 

 

 

 

​

​

 

Cuando el ransomware Qlocker finaliza su procedimiento, los archivos del dispositivo QNAP se almacenan en archivos 7-zip protegidos con contraseña con la extensión .7z. Para extraer estos archivos, las víctimas deben ingresar una contraseña.

​

​

​

​

​

​

 

 

 

 

 

 

 

 

 

Cuando el ransomware Deadbolt termina su proceso, los archivos del dispositivo QNAP son ilegibles y se agrega el sufijo .deadbolt a su extensión. La página de inicio del NAS también se cambia como se muestra en la imagen a continuación.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Cuando el ransomware eCh0raix finaliza su proceso, los archivos del dispositivo QNAP son ilegibles y el sufijo .encrypted se agrega a su extensión. Sin embargo, la página de inicio del NAS no cambia.

​

​

QNAP solucionó recientemente algunas vulnerabilidades críticas que podrían permitir a los atacantes obtener acceso completo a un dispositivo y ejecutar ransomware. QNAP ha corregido estas dos vulnerabilidades denominadasCVE-2020-2509e CVE-2020-36195el 16 de abril.

​

QNAP respondió a las preguntas de los expertos indicando que es posible que Deadbolt/Qlocker explote la vulnerabilidad C de las aplicaciones instaladas en el NAS para ejecutar ransomware en dispositivos vulnerables. Por lo tanto, se recomienda encarecidamente actualizar QTS, Multimedia Console y Media Streaming Add-on y todas las demás aplicaciones a las últimas versiones.

​

Obviamente, esto no recuperará sus archivos, pero lo protegerá de futuros ataques que utilicen esta vulnerabilidad.

​

​​​​​​

 

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Proceso de recuperación de un QNAP NAS infectado y encriptado

​​

 

Preguntas frecuentes:

​

¿Qué se recomienda hacer después de la infección? 

​

Es recomendable desconectar el NAS infectado de la red y contactar inmediatamente a un experto para recibir soporte técnico especializado. También es importante comprender la fuente de la infección ya que el sistema operativo del dispositivo no está dañado.pero es muy probable que haya una puerta trasera oculta o un rootkit dentro del sistema.

 

Probar técnicas de recuperación "tradicionales", actualizaciones de firmware o cualquier otra cosa solo pondrá en peligro aún más la ya baja probabilidad de recuperar todos sus archivos.

​​

​

​​​​​​​​​​​​​​​La contraseña de mi NAS era muy segura, ¿cómo la encontraron? 

​

Desafortunadamente, incluso con una contraseña de 20 caracteres aleatorios, generalmente muy segura, no existe una protección efectiva, ya que se utilizan vulnerabilidades en el software instalado en el NAS, lo que permite eludir la contraseña.

​

​

La cuenta de administrador en el NAS fue deshabilitada, ¿qué pasó? 

​

A menudo, la cuenta "admin" está desactivada por razones de seguridad, pero todo el proceso de encriptación se llevó a cabo desde esa cuenta, ¿cómo fue esto posible?

Todo esto sucede a través de una "escalada de privilegios", es decir, se conecta a través de un usuario "normal", se elevan los privilegios de este usuario, quien a su vez crea o reactiva la cuenta de administrador, sin embargo, siempre presente tal vez bajo otro nombre de usuario, al que se conectará. más tarde para realizar el cifrado.  

​

​​

Entonces, ¿qué puedo hacer para protegerme de futuros ataques de Deadbolt/QLOCKER/eCh0raix?​

​

Los dos consejos que damos a nuestros clientes para protegerse de la infección son:​

- actualice constante y rápidamente el NAS y las aplicaciones instaladas 

- instale nuestro script de protección contra ransomware, más info AQUÍ

​​​

​

​

¿Cómo descifrar archivos cifrados por ECHORAIX/DEADBOLT/QLOCKER 7Z? 

¿Pueden recuperar mis datos?

​

¡Sí, para algunas versiones de este malware podemos recuperar todos sus archivos! 

​

Escríbanos un correo electrónico ainfo@recuperafiles.it o ad urgente@eliminacryptolocker.com adjuntar pequeños archivos cifrados y su número de teléfono móvil;

 

¡Nos pondremos en contacto con usted tan pronto como sea posible!.

​

​

​