Skip to main content

Qlocker es un tipo de ransomware que ataca a los equipos NAS de QNAP. Te contamos todas las claves para que evites la pérdida de tus datos.

¿En qué consiste Qlocker?

Es un programa ransomware que se encarga de encriptar todos los datos del dispositivo NAS de QNAP que estés utilizando. Para rescatarlos, se te exige el pago de una cantidad determinada. El software se encarga de comprimir en archivos 7zip toda la información que encuentra y de protegerlos con una contraseña.

Todos los archivos afectados pierden su extensión original y pasa a convertirse en .7z. Cuando se consigue el bloqueo de todos los datos, en cada carpeta afectada se añade una nota con el formato «!!! Read_me.txt». En su interior se especifica que debes pagar por la clave que desbloqueará tus archivos. Lo habitual es que se pidan bitcoins.

Además, deberás descargar o usar el navegador Tor para acceder a la página web que se te facilite. En el archivo se te proporciona una clave de cliente para que, presuntamente, puedan identificarte.

Al entrar, se abrirá una nueva pantalla en la que sabrás cuánto debes pagar y la cantidad de criptomonedas a abonar. Tras el pago, se ingresa tu ID y se envía. Los ciberdelincuentes deberían enviarte a cambio la contraseña correspondiente.

¿Cómo ha afectado este ataque a las empresas?

En abril de 2021 se produjo un ataque masivo a usuarios de equipos NAS de QNAP de todo el mundo. El precio del rescate era de 500 euros en bitcoins. Por suerte, el fabricante apostó por dar las pautas necesarias para evitar la monumental estafa que acababa de ponerse en marcha.

¿Qué comentó QNAP al respecto?

Tras analizar algunos equipos afectados, la empresa redactó un comunicado oficial en el que se explicaba el motivo del ataque. Al parecer, los amigos de lo ajeno se aprovechaban de la vulnerabilidad VE-2020-36195.

Se recomendó entonces instalar en los equipos la última actualización de Malware Remover (diseñada para sistemas operativos QuTS y QTS) y ejecutarla en los archivos del NAS correspondientes. Este método de prevención podría ser eficaz, pero ¿cómo podría recuperarse la información perdida sin pagar la cantidad solicitada?

Consejos imprescindibles en caso de sufrir un ataque Qlocker

Lo más importante es mantener la calma. Es lógico pensar en lo peor y en que la información de los clientes, o la propia, está en manos ajenas, pero caer en el error de pagar es ceder al chantaje. Especialmente, porque no vas a poder denunciar a nadie en concreto y porque el ataque se produce desde un país distinto, lo que lo complica todo.

Además, si pagas a la primera lo habitual es que o te pidan más dinero o te den la clave de las carpetas con la información menos importante para intentar alargar la situación lo máximo posible. Lo más adecuado es analizar la situación y recurrir a una copia de seguridad de los datos que deberías tener en la nube. En caso contrario, respira hondo y prueba alguna de las siguientes alternativas.

¿Qué tipo de soluciones pueden aplicarse para recuperar los datos encriptados?

El ataque arriba descrito es siempre progresivo. Es decir, es posible que estés trabajando y que comiences a ver cómo los archivos se van encriptando poco a poco. QNAP aconseja no apagar el dispositivo NAS y ejecutar Malware Remover lo antes posible. También disponen de un servicio técnico desde el que podrán darte instrucciones para frenar el ataque. Si optas por apagar tu equipo, lo más probable es que termines perdiendo algunos archivos.

Aparte del programa antedicho, deberías descargar la última versión de las siguientes aplicaciones: Hybrid Backup Sync, Media Streaming Add-on y Multimedia Console. Esto frenará la expansión de las consecuencias del ataque.

La última alternativa es solicitarle al fabricante que te indemnice por el daño recibido, ya que es su obligación proteger tus datos de forma segura.

Qrescue una solución más eficaz

Teniendo en cuenta que las alternativas aportadas no convencieron a nadie y provocaron el pago de múltiples indemnizaciones, QNAP apostó por crear Qrescue. Antes de descargar el programa de la web oficial debes cumplir con los siguientes requisitos:

  • Confirmar que tu dispositivo ha sido atacado por Qlocker.
  • No haber modificado o borrado los archivos con extensión .7z.
  • El espacio disponible en el disco duro para los archivos originales sigue libre.
  • Tienes un disco duro externo con la capacidad suficiente.
  • Has aceptado los términos y condiciones de QNAP para la recuperación de datos.

Si cumples con estas condiciones, te contamos los pasos a seguir para conseguir tu objetivo.

Configura el disco duro externo

Comienza formateándolo totalmente, el sistema de archivos debe ser EXT4 y has de usar la palabra «rescate» (por ejemplo) como etiqueta. Edita los permisos de lectura y escritura para los posibles usuarios. Crea una carpeta por cada dispositivo de almacenamiento, usa algún dígito para identificarla.

Instalación y uso de las aplicaciones Photorec y Qrescue

Entra en el centro de aplicaciones de QTS y descarga Qrescue. Al abrirlo desde el escritorio te encontrarás con un marco y una pantalla donde aparecerá un mensaje con este formato «[admin@TS251a-211 qrescue] #». Tras este último símbolo debes teclear «photorec» y pulsar la tecla «enter».

Se abrirá una nueva pantalla en la que aparecerá un listado con elementos que siguen esta estructura «Disk /dev/mapper/cachedev1- el número de gigabytes usados y disponibles». El programa te especifica así las unidades de almacenamiento correspondientes. Para desplazarte por ellas usa los cursores.

Cuando selecciones la que quieres recuperar, el proceso solo te permite hacerlo de una en una, usa los cursores a derecha o a izquierda hasta seleccionar la opción «proceed» (al final de listado) y pulsa «enter».

En la nueva pantalla te solicitará que selecciones la partición en la que quieres vaciar la información. Como te indicamos anteriormente, deberás seleccionar la de la palabra rescate y posteriormente la carpeta con el número que le asignes a cada unidad afectada. El programa te preguntará si quieres que analice todo el espacio (whole) o solo los archivos de las extensiones numeradas. Selecciona la primera alternativa y pulsa «enter.

Deberás especificar, en la nueva pantalla, «source destination» (el formato del mensaje es similar a este: /share/external/DEV3301_01/qpkg/QRescue). Lo que estás indicando es que quieres que la aplicación se encargue de hacer el trabajo de recuperación.

Luego, has de concretar «recovery destination» (el mensaje será /share/rescate/1, todo dependerá de los nombres que elijas durante la configuración). Cuando compruebes que todo es correcto, pulsa la letra «ce» en el teclado. Photorec comenzará a realizar su trabajo. Busca la frase «estímate time to completion» para conocer el tiempo estimado para finalizar la tarea. Cuando termine, verás un mensaje en el que se te informa de los archivos recuperados y dónde se han almacenado.

Abre Qrescue desde el escritorio, escribe «qrescue.sh» tras el mensaje «[admin@TS251a-211 qrescue]» o similar (dependerá de cada ordenador) y pulsa «enter». De tener más de una unidad deberás repetir el proceso. El programa te avisará de la finalización de la exitosa recuperación de tus datos.

Pasa tus datos al dispositivo NAS

Debes usar un gestor de archivos para hacerlo. Accede al disco duro externo, pulsa el botón derecho del ratón y selecciona «mover a». Selecciona el NAS que quieras y espera unos segundos. Habrás conseguido tu objetivo.

Una advertencia importante

QNAP aclara que, aunque sean los programadores de Qrescue, los resultados de su aplicación pueden variar dependiendo del grado de gravedad del ataque por Qlocker. De hecho, no garantizan que vayas a recuperar tu información y eximen cualquier responsabilidad legal durante el proceso.

¿Afecta Qlocker a cualquier persona que se conecte a Internet?

Lamentablemente, los que ejecutan Qlocker no se limitan a chantajear a empresas. Muchos usuarios particulares también han sufrido esta amenaza. De ser víctima de este ataque en tu PC personal, puedes acceder a la web de No more Ramson! y buscar su sección de herramientas para la eliminación de ransomware. Una de ellas es Recuva. Puedes instalarla, seleccionar la opción «deep scan» y comprobar los resultados del escaneo. Selecciona las carpetas que quieras recuperar y elige la unidad de destino.

Debes administrar las particiones del disco duro externo o interno correspondientes y realizar una copia de seguridad de los datos que puedes subir a One Drive. Este servicio gratuito te permite almacenar información en la nube periódicamente. En caso de experimentar este ataque, siempre podrás acceder a tus datos fácilmente.

La prevención es la mejor medida de seguridad

Programar una copia de seguridad diaria al final del día siempre es eficaz. Actualizar los dispositivos NAS y los personales irá complicando la labor de los delincuentes sin que te suponga demasiado esfuerzo. Se trata, en definitiva, de ganar en tranquilidad evitando lamentar daños que podrían haberse prevenido.

Esperamos que, ahora que sabes en qué consiste el ransomware Qlocker, tomes las medidas necesarias para prevenirlo. Seguro que así es y que la información anterior también te ha servido para prestarles atención a detalles que, hasta ahora, han pasado inadvertidos. Refuerza ya la seguridad de tus equipos informáticos para mantener a buen recaudo tus datos.

imagen

5/5 - (1 voto)

Escribir un comentario

Close Menu

Malgrat, 99
08016 Barcelona
+34 93 595 25 81
info@ticgrup.com