Un ataque ransomware a QNAP está cifrando los NAS de los usuarios y pide un rescate para recuperar los archivos

Cristian Rus

“¡¡¡Todos tus archivos han sido cifrados!!!” Con este mensaje se están encontrado algunosusuarios de QNAP, la marca de dispositivos NAS. Un nuevoransomwarellamado Qlocker está haciéndose con los servidoresNASde todo el mundo aprovechando una vulnerabilidad. A cambio de devolverlos (de devolver su contenido),pide una transacción Bitcoin.

El ataque comenzó a aparecer en dispositivos QNAP el pasado 19 de abril, segúnrelata Bleeping Computer. Esencialmente lo que el ransomware Qlocker está haciendo escomprimir los archivos de los dispositivos NAS en archivos 7-zip cifrados. Para ello primero el ransomware accede al NAS aprovechando una vulnerabilidad del sistema.

Una vez los archivos están cifrados deja sólo un archivo de texto en el que explica la situación al usuario. En la nota se le indica que sus archivos están cifrados con una clave única. Para conocer esa clave única hay que pagar unrescate de alrededor de 500 euros en Bitcoina los hackers en una web de Tor.

Soluciones temporales

En las últimas horasel hacker Jack Cableexplicó que consiguióencontrar una vulnerabilidad en el sistema del ransomwarepara saltarse el pago y obtener la clave gratis. Horas más tarde parece ser que los hackersarreglaron esa vulnerabilidady ya no funciona el truco.

Update: it looks like this may have been fixed by the ransomware operators, unfortunately. I apologize if I was not able to get to yours before it was fixed. In total decrypted around 50 keys worth $27k.

Por su parte,QNAP ha enviado un comunicado oficialpara aclarar el asunto. Creen que los hackers están utilizandouna vulnerabilidad conocida como VE-2020-36195para ejecutar el ransomware en dispositivos vulnerables. La recomendación que están haciendo es actualizar diversos componentes del NAS como QTS y Multimedia Console.

Desde QNAP también recomiendan yenfatizan en la importancia de actualizar el software del NAS, especialmente Malware Remover. Este antivirus de la marca está actualizado para detectar el ransomware y evitar que se ejecute en dispositivos aún no infectados. Dicen que están trabajando en una solución para eliminar también el malware de los dispositivos ya infectados.

¿Qué hace si el NAS está ya infectado?QNAP recomienda no apagar ni reiniciar el NAS, sino ejecutar la última versión de Malware Remover y analizar todo el NAS. Una vez hecho, ponerse en contacto con el soporte técnico de QNAP.

Vía |Bleeping ComputerMás información |QNAP