Hace unas horas saltaba la noticia de que algunos usuarios de equipos NAS de QNAP estaban siendo afectados por dos ransomware llamados "Qlocker" y "eCh0raix" que estaban extendiéndose poco a poco por los servidores NAS de todo el mundo aprovechando una vulnerabilidad.
El software malicioso comenzó a actuar el pasado 19 de abril y una vez ha afectado a un equipo NAS muestra un inquietante mensaje: "¡¡¡Todos tus archivos han sido cifrados!!!" y pide un rescate económico en Bitcoins a cambio de devolverlos.
Lo que hacen es en primer lugar acceder al NAS aprovechando una vulnerabilidad conocida como VE-2020-36195 para posteriormente comprimir los archivos que tengamos almacenados en el NAS convirtiéndolos en archivos 7-zip cifrados. Una vez hecho esto deja sólo un archivo de texto en el que explica la situación al usuario. Y pide un rescate de 500 euros en Bitcoin en una web de Tor.
Qué puedes hacer si ya has sido afectado
QNAP ha enviado un comunicado oficial para dar información sobre este asunto señalando que ya están trabajando para solucionar el problema y ofreciendo algunas recomendaciones a usuarios afectados, pero también para aquéllos que no lo están pero que están a tiempo de asegurar sus dispositivos.
Una vez conocida la vulnerabilidad que está siendo utilizada (VE-2020-36195) para ejecutar el ransomware, la primera recomendación del fabricante pasa por instalar en los NAS la última versión actualizada de la aplicación "Malware Remover" disponible para sistemas operativos QTS y QuTS y ejecutarla directamente sobre los archivos del NAS.
Si nuestros archivos ya han sido cifrados o están en proceso de serlo, QNAP recomienda que no apaguemos el NAS, sino que tratemos de instalar y ejecutar el "Malware Remover" lo antes posible y contactemos con el servicio técnico a través de esta dirección, ya que si apagamos el equipo podemos correr el riesgo de perder algunos archivos.
También es necesario actualizar las aplicaciones "Multimedia Console", "Media Streaming Add-on" y "Hybrid Backup Sync" a la última versión disponible para evitar que el malware se extienda.
Finalmente, si hemos sido afectados y nuestros archivos han sido cifrados, podemos tratar de reclamar al fabricante alguna compensación. Para ello podemos recurrir a asociaciones de consumidores como OCU que incluso cuentan con una web específica desde la que realizar estos trámites.
Qué hacer si todavía no estamos afectados
En el caso de que tengamos un NAS del fabricante pero todavía no hayamos sido afectados por este ransomware, las recomendaciones comienzan siendo muy similares y pasan por actualizar todas las aplicaciones citadas anteriormente y ejecutar el "Malware Remover" lo antes posible.
También es conveniente actualizar las contraseñas y mejorar su fortaleza, debemos hacer una copia de seguridad de los datos más importantes que guardemos en el NAS en otros discos externos y podemos modificar el puerto por defecto para acceder a la interfaz del NAS (el 8080) por otro cualquiera siguiendo las instrucciones del fabricante descritas aquí.
Más información | QNAP
