Mon NAS Synology ou QNAP grand public est-il vraiment ciblé par les ransomwares ?

Oui, sans aucun doute. Les campagnes DeadBolt (QNAP), eCh0raix (Synology et QNAP) et Qlocker ont infecté plus de 30 000 NAS grand public et TPE selon les recensements de Censys et Shadowserver entre 2021 et 2024. Les acteurs scannent en permanence les IP publiques exposant les ports 5000, 5001, 8080, 8443 typiques des interfaces DSM et QTS. Tout NAS accessible directement depuis Internet via UPnP ou port forwarding est une cible potentielle, qu'il s'agisse d'un usage familial ou professionnel.

Mes snapshots Synology ou QNAP peuvent-ils être chiffrés par le ransomware ?

Cela dépend de la configuration. Les snapshots BTRFS Synology (Snapshot Replication) et les snapshots QNAP (Storage & Snapshots) reposent sur le copy-on-write au niveau du système de fichiers : un attaquant qui obtient un accès admin classique sur le NAS ne peut pas modifier directement les snapshots déjà créés. En revanche, il peut les supprimer via l'interface ou la CLI. Pour une protection robuste, il faut activer le mode immutable / lecture seule sur les snapshots (DSM 7.2+, QuTS hero) et limiter strictement les comptes administrateurs autorisés à les manipuler.

Faut-il payer la rançon DeadBolt ou eCh0raix ?

Non, jamais en première intention. L'ANSSI, le FBI et Europol recommandent à l'unanimité de ne pas payer. DeadBolt a la particularité d'intégrer son interface de paiement dans l'écran d'accueil QTS détourné, ce qui crée une pression psychologique. Plusieurs victimes ayant payé n'ont jamais reçu de clé. En outre, en 2022 la police néerlandaise a saisi 155 clés DeadBolt en simulant des paiements puis en annulant les transactions juste après réception de la clé — preuve que la procédure d'escrow Bitcoin du groupe est exploitable. Avant tout paiement, vérifiez les bases No More Ransom et Emsisoft Decryptor.

Comment isoler un NAS infecté sans le débrancher physiquement ?

Le réflexe est de couper l'accès Internet sans toucher au NAS lui-même. Connectez-vous à votre box Internet (Livebox, Freebox, Bbox, routeur) et désactivez tous les port forwarding visant l'IP locale du NAS, ainsi que l'UPnP automatique. Le chiffrement actif s'arrête car les souches modernes communiquent avec un serveur C2 pour récupérer leurs clés. Ne coupez pas l'alimentation du NAS : la RAM contient parfois les clés de chiffrement encore en clair, exploitable par un analyste forensique.

Faut-il exposer son NAS Synology ou QNAP sur Internet ?

Le plus sûr est de ne pas l'exposer du tout. Si vous avez besoin d'un accès distant, utilisez un VPN (WireGuard, OpenVPN, le serveur VPN intégré DSM ou QNAP QVPN) plutôt que le port forwarding direct. Alternative intermédiaire : reverse proxy avec IP whitelist et certificat valide. Pour le partage de fichiers ponctuel, les services cloud officiels (Synology QuickConnect, myQNAPcloud) sont moins risqués que l'exposition directe mais ajoutent une dépendance à un tiers. La règle d'or : aucun service du NAS ne doit être joignable depuis 0.0.0.0 sans une couche d'authentification forte (clé, MFA) en amont.

Ransomware NAS Synology et QNAP : récupération et prévention 2026

Les NAS Synology et QNAP grand public et TPE figurent depuis 2019 parmi les cibles les plus rentables pour les groupes ransomware. Petits formats, grosse capacité de stockage, configurations souvent par défaut, et surtout : exposés directement à Internet par UPnP ou port forwarding pour les besoins d'accès distant à la maison ou au bureau. Le résultat est documenté — campagnes DeadBolt, eCh0raix, Qlocker ayant infecté plus de 30 000 appareils selon les recensements de Censys et Shadowserver, et accélération marquée entre 2022 et 2026.

Ce guide explique comment ces attaques fonctionnent, comment réagir dans les minutes qui suivent une infection, comment restaurer depuis les snapshots intégrés (BTRFS Synology, ZFS QNAP), et comment durcir un NAS pour qu'il ne soit plus une cible facile.

Pourquoi les NAS grand public sont massivement ciblés

Trois facteurs convergent depuis 2019 :

Exposition directe à Internet. L'usage typique d'un NAS familial ou TPE consiste à activer l'accès distant pour consulter ses photos ou ses documents depuis l'extérieur. L'UPnP automatique des box Internet ouvre les ports 5000/5001 (DSM Synology) ou 8080/8443 (QTS QNAP) sans intervention manuelle. Les acteurs ransomware scannent en permanence ces ports — un balayage complet d'IPv4 prend moins de 30 minutes avec un cluster comme Masscan.
Vulnérabilités applicatives récurrentes. Photo Station, Hybrid Backup Sync, Container Station, Surveillance Station et les paquets tiers introduisent régulièrement des CVE critiques. Beaucoup d'utilisateurs ne mettent pas à jour automatiquement par peur de casser leur configuration.
Configurations par défaut faibles. Compte admin actif, mot de passe simple, 2FA désactivée, SSH ouvert, aucun auto-block IP — c'est encore la norme pour la majorité des NAS grand public installés avant 2023.

Le résultat est un terrain de chasse industrialisable. Les groupes DeadBolt et eCh0raix opèrent en mode automatique : scan, exploit, chiffrement, demande de rançon — sans intervention humaine entre le scan et le chiffrement.

DeadBolt : la campagne QNAP la plus violente

DeadBolt apparaît en janvier 2022. Sa particularité : le groupe détourne directement l'écran de connexion QTS du NAS pour afficher la note de rançon — l'utilisateur ne peut plus accéder à son propre NAS, l'interface qu'il voit est celle des attaquants.

Vecteur d'infection : exploitation de la CVE-2022-27593 (vulnérabilité d'un fichier externe référencé dans Photo Station permettant l'exécution de code à distance). Une variante a aussi utilisé un défaut dans QNAP QTS lui-même.

Mécanisme : chiffrement AES-256 des fichiers utilisateurs, ajout de l'extension .deadbolt, suppression sélective des snapshots accessibles via l'interface. Le binaire ne touche pas le firmware QTS lui-même.

Demande : 0,03 BTC par NAS (environ 1 200 € en 2022, jusqu'à 2 800 € au pic Bitcoin de 2024). Procédure d'escrow inhabituelle : le paiement s'effectue directement vers une adresse Bitcoin affichée dans l'interface QTS détournée, et la clé de déchiffrement est ensuite transmise via une transaction Bitcoin contenant un OP_RETURN.

Impact recensé : plus de 12 000 NAS QNAP infectés selon Censys au pic janvier-mars 2022, environ 4 900 supplémentaires sur la vague septembre 2022, vagues résiduelles 2023-2024. La police néerlandaise est intervenue en octobre 2022 et a saisi 155 clés DeadBolt en simulant des paiements puis en annulant les transactions Bitcoin avant confirmation côté attaquant — révélant une faiblesse procédurale du groupe.

QNAP a publié une mise à jour QTS de sécurité forcée en février 2022 sur les appareils enregistrés. Tous les NAS sans accès Internet ou non enregistrés sont restés vulnérables.

eCh0raix / QNAPCrypt : la souche durable Synology et QNAP

eCh0raix (aussi appelé QNAPCrypt) est apparu en 2019 et reste actif en 2026. Contrairement à DeadBolt, eCh0raix cible aussi bien les NAS Synology que QNAP, et utilise plusieurs vecteurs d'infection en parallèle.

Vecteurs :

Brute force SSH sur les comptes admin avec mots de passe faibles.
Brute force de l'interface web (DSM, QTS) avec dictionnaire.
Exploitation de CVE applicatives (HBS3 sur QNAP, Photo Station, anciennes versions DSM).
Phishing ciblant les administrateurs avec malware déposant une clé SSH.

Mécanisme : chiffrement AES via la bibliothèque crypto/Go, extension .encrypt ajoutée aux fichiers, fichier README_FOR_DECRYPT.txt ou README_HOW_TO_DECRYPT.txt déposé dans chaque dossier touché. Les fichiers de moins de quelques Ko ou les fichiers système ne sont pas chiffrés.

Demande : variable selon la souche, entre 0,024 BTC et 0,06 BTC. Les paiements transitent par une infrastructure Tor.

Particularité technique : le groupe a longtemps utilisé une même clé maître pour plusieurs victimes, ce qui a permis à Emsisoft de publier un déchiffreur gratuit en 2019 pour les premières variantes. Les versions à partir de mi-2020 utilisent des clés uniques générées dynamiquement — plus aucun déchiffreur gratuit n'existe pour les souches modernes.

Qlocker : l'attaque éclair d'avril 2021

Qlocker est arrivé en avril 2021 et a fait parler par sa simplicité brutale. Le ransomware n'avait pas de mécanisme de chiffrement propriétaire : il utilisait simplement 7-Zip (binaire 7z installé par défaut sur QNAP) pour archiver les fichiers utilisateurs dans des .7z protégés par mot de passe.

Vecteur : exploitation de la CVE-2021-28799 dans Hybrid Backup Sync (HBS3), permettant un accès non authentifié administrateur.

Mécanisme : un script appelait 7z a -p<password> -mx1 archive.7z fichiers/ pour chaque dossier utilisateur, supprimait les originaux, et déposait !!!READ_ME.txt. Très rapide (compression niveau 1), très efficace, complètement réversible si on récupère le mot de passe.

Demande : 0,01 BTC par NAS (~ 500 € en avril 2021). La rapidité d'exécution et la modestie de la rançon ont conduit beaucoup de victimes à payer — selon Emsisoft, des centaines de paiements documentés en moins d'une semaine.

Faille du groupe : plusieurs chercheurs ont trouvé une fuite dans le serveur de paiement Tor permettant de récupérer le mot de passe sans payer, en analysant les en-têtes HTTP. Le groupe a fermé son site une semaine après le démarrage de la campagne.

Variantes Synology Cl0p et campagnes 2023-2025

Entre 2023 et 2025, plusieurs campagnes ont visé spécifiquement les Synology DSM exposés :

Cl0p Synology (variante Linux du ransomware Cl0p) : ciblage des NAS DSM avec services SMB exposés en Q4 2023.
Cheers / Cheerscrypt : adaptations Linux/QNAP de souches initialement VMware ESXi.
Reprises eCh0raix : campagnes périodiques en 2024-2025 exploitant la CVE-2023-39296 sur DSM 7.2.

Le point commun : tous exploitent soit une CVE applicative non patchée, soit un compte admin faiblement protégé. Aucune campagne n'a exploité de zero-day sur le kernel DSM ou QTS lui-même — les défenses se gagnent presque toujours au niveau de la configuration et des paquets exposés.

CVE clés à connaître

Les CVE suivantes ont été activement exploitées dans les campagnes ransomware NAS récentes :

CVE-2024-32962 : QNAP QTS et QuTS hero, escalade de privilèges via un défaut dans le module de gestion des partages réseau. Patchée en mai 2024.
CVE-2023-39296 : Synology DSM 7.2, contournement d'authentification via une faille dans le composant Web Station. Patchée en septembre 2023.
CVE-2022-27593 : QNAP Photo Station, exécution de code à distance via fichier référencé externe (RCE non authentifié). Vecteur principal de la première vague DeadBolt.
CVE-2021-28799 : QNAP Hybrid Backup Sync (HBS3), authentification cassée permettant un accès admin sans credentials. Vecteur principal de Qlocker.

Si vous administrez un NAS qui n'a pas reçu les patches associés, considérez l'appareil comme compromis ou pré-compromis.

Comparatif des trois familles principales

Famille	Vecteur d'infection	Mécanisme	Demande	Statut déchiffreur 2026
DeadBolt	CVE-2022-27593 Photo Station QNAP, CVE QTS	Chiffrement AES-256, extension `.deadbolt`, UI QTS détournée	0,03 BTC	Partiel : 155 clés saisies par la police néerlandaise diffusées via No More Ransom
eCh0raix / QNAPCrypt	Brute force SSH, CVE HBS3, exploits DSM	Chiffrement AES via crypto/Go, extension `.encrypt`, note README_FOR_DECRYPT.txt	0,024 à 0,06 BTC	Décrypteur Emsisoft pour souches 2019-mi-2020 uniquement
Qlocker	CVE-2021-28799 HBS3 QNAP	Archivage 7-Zip avec mot de passe, extension `.7z`	0,01 BTC	Aucun déchiffreur officiel, récupération possible via mots de passe leakés serveur Tor

Procédure d'urgence : les 30 premières minutes

Étape 1 — Couper Internet sans toucher au NAS

Connectez-vous à votre box Internet (Livebox, Freebox, Bbox, routeur tiers). Désactivez :

Tous les port forwarding pointant vers l'IP locale du NAS.
L'UPnP automatique.
Les règles d'exposition DMZ s'il y en a.

Le chiffrement actif s'arrête car la plupart des souches modernes communiquent avec un serveur C2 pour récupérer ou stocker les clés. Ne coupez pas l'alimentation physique du NAS : la RAM peut contenir des clés de chiffrement encore en clair, exploitable par un analyste forensique avec une image mémoire.

Étape 2 — Accès SSH local pour diagnostic

Depuis un PC du LAN (jamais depuis Internet), ouvrez un terminal :

# Connexion au NAS sur réseau local
ssh admin@192.168.1.100

# Lister les volumes pour repérer l'extension du ransomware
ls -la /volume1/
ls -la /share/

# Compter combien de fichiers sont chiffrés (ajuster l'extension)
find /volume1 -name "*.deadbolt" | wc -l
find /volume1 -name "*.encrypt" | wc -l
find /volume1 -name "*.7z" -newer /etc/hostname | wc -l

# Lire la note de rançon
find /volume1 -name "README_FOR_DECRYPT*" -exec cat {} \;
find /volume1 -name "!!!READ_ME*" -exec cat {} \;

# Lister les processus suspects encore actifs
ps -ef | grep -iE "encrypt|7z|deadbolt"

# Vérifier les snapshots existants (QNAP QuTS hero)
zfs list -t snapshot

# Vérifier les snapshots Synology (BTRFS)
sudo btrfs subvolume list /volume1

Le but n'est pas de réparer mais de documenter : identifier l'extension, la famille, le pattern de chiffrement, l'étendue (combien de fichiers, combien de partages touchés).

Étape 3 — Identification précise via ID Ransomware

Téléchargez un fichier chiffré (de petite taille) et la note de rançon sur un PC sain. Uploadez les deux sur ID Ransomware — l'outil de MalwareHunterTeam couvre toutes les souches NAS connues. Notre guide ID Ransomware détaille la procédure.

L'identification précise permet de savoir si un déchiffreur gratuit existe (cas DeadBolt avec les 155 clés saisies, cas eCh0raix souches anciennes).

Étape 4 — Vérifier l'état des snapshots

Sur Synology DSM :

DSM → Snapshot Replication → onglet Snapshots.
Listez les snapshots existants par partage.
Identifiez le dernier snapshot daté avant l'apparition des fichiers chiffrés.

Sur QNAP QTS / QuTS hero :

QTS → Storage & Snapshots → Snapshot Manager.
Listez les snapshots par volume.
Sur QuTS hero (ZFS), les snapshots résistent généralement à un attaquant qui n'a pas le rôle dédié.

Si les snapshots sains existent, la voie de récupération est tracée. Sinon, voir la section DFIR plus bas.

Restauration depuis snapshots

Snapshot Replication Synology (BTRFS)

Les snapshots Synology reposent sur le copy-on-write BTRFS et sont par défaut désactivés sur les volumes ext4. Vérifiez d'abord le format de votre volume :

DSM → Storage Manager → onglet Volume → format affiché.
Si EXT4 : les snapshots ne sont pas disponibles. Voir la section Hyper Backup.
Si BTRFS : snapshots activables et probablement déjà présents si vous suivez les recommandations Synology.

Procédure de restauration :

DSM → Snapshot Replication → onglet Recovery.
Sélectionnez le partage concerné.
Sélectionnez le snapshot daté d'avant l'attaque.
Choisissez Restore → confirmez.

La restauration s'effectue au niveau partage. Un point de retour est créé avant restauration, donc l'opération est non-destructive.

Pour rendre les snapshots résistants à un attaquant ayant pris la main sur DSM :

Activez le mode immutable / lecture seule sur les snapshots (DSM 7.2+).
Configurez une rétention longue (30 jours minimum) avec planification automatique.
Limitez la liste des comptes admin autorisés à manipuler les snapshots.

Snapshots QNAP (ZFS sur QuTS hero, EXT4 sur QTS)

Sur QuTS hero, le système de fichiers ZFS apporte des snapshots robustes par construction :

QTS → Storage & Snapshots → Snapshot Manager.
Sélectionnez le volume.
Liste des snapshots → clic droit sur le snapshot pré-attaque → Revert.

Sur QTS classique avec EXT4, les snapshots sont gérés par un module dédié et sont moins robustes que les snapshots ZFS. La procédure de restauration est similaire mais l'isolation contre un attaquant admin est plus faible.

Configurez Block-Based Snapshot avec rétention 30 jours minimum, et activez la sauvegarde des snapshots vers un second NAS ou un cloud immuable via HBS3.

Hyper Backup Synology et HBS3 QNAP : la couche au-dessus des snapshots

Les snapshots restent locaux. Pour une défense en profondeur, ajoutez une sauvegarde versionnée hors site :

Hyper Backup Synology :

Sauvegarde vers Synology C2, Backblaze B2, Wasabi, Amazon S3, OneDrive, Google Drive.
Chiffrement côté client AES-256.
Versioning configurable (jusqu'à 256 versions).
Mode immutable disponible sur C2 et B2 via Object Lock — l'attaquant qui contrôle DSM ne peut pas supprimer les versions verrouillées.

HBS3 QNAP (Hybrid Backup Sync) :

Mêmes destinations.
Attention : c'est ce paquet qui contient les CVE Qlocker (CVE-2021-28799). Maintenez-le strictement à jour.
Configuration immutable supportée sur les destinations S3-compatibles.

Pour une PME, la combinaison snapshot local + Hyper Backup ou HBS3 vers cloud immuable + une copie cold sur disque externe rotatif constitue une stratégie 3-2-1 robuste.

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

Stratégie 3-2-1 avec EaseUS Todo Backup→

Que faire sans snapshot ni backup

Cas le plus difficile : NAS sur EXT4 sans snapshots et sans Hyper Backup. Il reste deux pistes.

Récupération forensique sur image disque

Démontez les disques du NAS, branchez-les sur un PC Linux ou Windows :

DiskInternals Linux Reader (Windows) lit les volumes EXT4 et BTRFS Synology en lecture seule.
R-Studio NAS reconnaît les configurations Synology Hybrid RAID (SHR) et les volumes QNAP.
EaseUS Data Recovery monte les images et scanne en signature : peut retrouver les fragments non chiffrés des fichiers (les ransomwares écrivent souvent le fichier chiffré dans un nouvel inode et marquent l'ancien comme libre — l'ancien contenu reste lisible jusqu'à écrasement).

La méthode complète est détaillée dans notre guide de récupération après ransomware.

Déchiffreurs gratuits

Si la souche est DeadBolt, tentez d'abord les 155 clés saisies par la police néerlandaise et redistribuées via No More Ransom. Pour eCh0raix souche 2019-mi 2020, l'outil Emsisoft est gratuit. Pour les souches modernes, aucun déchiffreur public n'existe à ce jour.

Durcissement post-incident

Une fois le NAS restauré, ne le remettez jamais sur Internet dans la même configuration. Liste de durcissement minimale :

Désactiver UPnP sur la box Internet et le NAS.
Aucun port forwarding direct vers le NAS. Si accès distant nécessaire : VPN (WireGuard, OpenVPN, ou serveur VPN intégré DSM / QVPN QNAP).
Reverse proxy avec IP whitelist si exposition strictement nécessaire pour un service métier.
2FA obligatoire sur tous les comptes admin (TOTP minimum, idéalement clés FIDO2 supportées par DSM 7.2+ et QuTS hero).
Désactiver le compte admin par défaut, créer un compte admin personnel à nom différent.
Auto-block IP après 3 tentatives échouées sur l'interface web et SSH.
SSH désactivé par défaut, ou autorisation par clé uniquement (pas de mot de passe).
DSM / QTS en auto-update activé, paquets exposés (Photo Station, HBS3, Container Station) maintenus strictement à jour.
Snapshots immuables avec rétention 30 jours minimum.
Backup externe 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site et immuable. Pour un NAS familial : snapshot local + Hyper Backup C2 ou Backblaze B2 + disque externe rotatif.

Le détail qui sauve : ne plus exposer le NAS

L'enseignement répété de chaque campagne ransomware NAS depuis 2019 est le même : les NAS qui n'étaient pas exposés directement à Internet n'ont pas été touchés. Aucun cas documenté d'infection eCh0raix, DeadBolt ou Qlocker sur un NAS uniquement accessible via VPN.

Si vous administrez un NAS familial ou d'entreprise et que l'accès distant est un besoin réel, investissez 30 minutes pour configurer un VPN — WireGuard est trivial, fonctionne sur smartphone, et apporte une protection radicale. Le compromis ergonomique (lancer une appli VPN avant d'accéder aux fichiers) est négligeable face au scénario d'un chiffrement complet du NAS familial avec 8 To de photos.

Pour aller plus loin sur la stratégie de défense anti-ransomware en environnement professionnel, voir notre guide protection ransomware entreprise 2026 ainsi que le comparatif meilleur antivirus anti-ransomware 2026. Si vous suspectez une compromission active mais hésitez sur la marche à suivre, lancez d'abord notre outil de diagnostic pour cadrer la suite des opérations.

Ressources officielles