Servidor NAS de Synology afectado por el Ransomware Synolocker

0

Synology es una popular plataforma que permite colocar discos duros NAS y que ha sido afectada recientemente por un nuevo tipo de Ransomware. ¿Recordáis Cryptolocker? Pues es muy similar, pero aplicado solamente a usuarios de Synology.

Muchos usuarios se han estado quejando, esta semana, de que sus unidades han sido infectadas con Ransomware. Sus datos son encriptados y se vuelven inaccesibles para sus dueños. Synolocker, como cualquier ransomware, no devolverá los archivos a no ser que se pague un elevado “rescate”, de unos 260 €, equivalente a 0,6 Bitcoin.

Se sabe que el servidor que controla el cifrado remoto de archivos está usando la red Tor para esconderse. Lo que no está tan claro aún es si los usuarios llegarán a recuperar sus archivos, incluso tras haber pagado el canon.

Tras los pasos de Cryptolocker

Como hemos dicho, Synolocker se fundamenta sobre la base de Cryptolocker. Hasta el momento no está claro como llega este malware al equipo. Puede ser una filtración en la interfaz de usuario o un ataque sobre los protocolos SSH o incluso FTP.

De momento, lo que recomendamos es apagar nuestro Synology si no lo vamos a utilizar, hasta que la compañía aclare lo sucedido. La compañía tiene fama de ser “rápida” en sus lanzamientos de parches. No dejéis el NAS accesible (por el momento) mediante la red e instalad el último firmware disponible para el servidor NAS. Ya a comienzos de año se vulneraron sistemas de este tipo para “minar Bitcoins” de forma remota, consiguiendo en torno a 500000 €.

Synolocker se manifiesta de la forma que aparece en la imagen

Actualmente, el problema está localizado en la versión de firmware DSM 4.3 . La empresa investiga si la versión más reciente (5.0) pudiera estar afectada.

Acciones de emergencia

Synology ha publicado varias pautas a seguir inmediatamente para minimizar los daños.

  • Cerrar todos los puertos para acceso externo desde Internet.
  • Desconectar el NAS de nuestra red local.
  • Con el NAS conectado a una sola máquina, se deberá actualizar el firmware DSM a la última versión.
  • Realizar un backup de los datos.
  • Esperar nuevas noticias del fabricante.

Si la unidad está infectada deberemos hacer lo siguiente:

  • No confiar en ningún email que afirme proceder de Synology. Los emails de Synology siempre llevan el sufijo “synology.com”.
  • Realizar un “hard reset” en la unidad para prevenir más complicaciones. Para ello deberéis presionar el botón de encendido durante varios segundos, hasta escuchar un pitido prolongado. Entonces la unidad se apagará de forma segura.
  • Contactad con el Servicio Técnico de Synology lo antes posible aquí.
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR