En respuesta a reportes realizados por los usuarios de QNAP a la propia marca y a través de las redes sociales, se ha detectado una nueva variante de ransomware llamada eCh0raix. Éste «virus» tiene actualmente como objetivo los Servidores de almacenamiento de la marca y está tratando de infectarlos mediante ataques por fuerza bruta.
Como patrón se ha detectado que los equipos infectados tenían dos cosas en común, no habían actualizado en años la versión de QTS y se ha llegado a acceder tras cientos de intentos de rotura de la contraseña (ataque por fuerza bruta). eCh0raix puede cifrar un equipo completo en pocos segundos y al ser QNAP su objetivo, vamos a recomendar unos conceptos básicos de seguridad que harán que éste ransomware sea incapaz de infectar vuestros equipos.
- Actualiza tu QNAP a la última versión estable de QTS.
- Instala y actualiza Malware Remover a la última versión
- Utiliza contraseñas seguras en tu sistema (1234, admin, 123456 etc no son contraseñas)
- Habilita el control de acceso para proteger ante ataques por fuerza bruta.
- Deshabilita el SSH y el Telnet en caso de que no lo utilices. (si lo usas cambia el puerto)
- Evita en la medida de lo posible usar puertos por defecto para el acceso externo como el 443 o el 8080.
Ésto puede mejorar la seguridad de vuestro servidor NAS haciendo que eCh0raix no pueda llegar a vuestro equipo. QNAP está trabajando activamente en una solución para eliminar eCh0raix de los equipos infectados.
Os dejamos unos mini tutoriales con las configuraciones recomendadas:
Actualiza tu QNAP a la última versión estable de QTS.
Para actualizar tu QNAP puedes acceder al Panel de control y hacer click en Actualización del Firmware
Una vez dentro le damos a buscar actualización y seguimos los pasos.
Instala y actualiza Malware Remover a la última versión
Accedemos al App Center desde el escritorio o desde el menú lateral.
Usando el buscador escribimos Malware y nos saldrá en los resultados. Hacemos click en Instalar y lo tendremos listo.
Utiliza contraseñas seguras en tu sistema (1234, admin, 123456 etc no son contraseñas)
Accediendo al Panel de control > Usuarios podremos cambiar las contraseñas de nuestros usuarios usando el botón marcado en la captura.
Habilita el control de acceso para proteger ante ataques por fuerza bruta.
Dentro de Panel de control > Seguridad podemos proteger nuestro NAS contra ataques en el menú de protección de acceso IP:
De esta forma en cuanto tengas cinco intentos en menos de 1 minuto, se bloqueará la IP para siempre.
Deshabilita el SSH y el Telnet en caso de que no lo utilices. (si lo usas cambia el puerto)
Para deshabilitar estos servicios tenemos que acceder a Panel de control > Telnet / SSH y deshabilitarlos. En caso de que los usemos aconsejamos cambiar el puerto.
Evita en la medida de lo posible usar puertos por defecto para el acceso externo como el 443 o el 8080.
Dentro de Panel de control > Sistema >Configuración general podremos cambiar los puertos.
Con estos pasos, tu QNAP estará protegido ante ataques del eCh0raix. Os aconsejamos disponer de copias de seguridad de vuestros datos en remoto o disponer de un sistemas de copias de seguridad tipo 3.2.1 para aumentar la seguridad de vuestros datos más importantes.
Como aportación extra, tras las investigaciones realizadas por Qloudea, es muy posible que limitando el acceso a la IP 192.99.206.61:65000 ( la más bloqueada en los equipos).
Otra de las cosas que podemos hacer es crear un usuario en el grupo de administradores con un nombre diferente y deshabilitar el admin temporalmente. De esta forma, los ataques serán mucho más complicados.
NOTA: si quieres saber si estás infectado, accede por SSH a tu equipo y busca la siguiente ruta /home/user/go/src/qnap_crypt_worker