O meu NAS Synology ou QNAP de consumo é mesmo um alvo de ransomware?

Sim, sem qualquer dúvida. As campanhas DeadBolt (QNAP), eCh0raix (Synology e QNAP) e Qlocker infetaram um grande número de dispositivos NAS de consumo e de PME entre 2021 e 2024. Os atores de ameaças analisam continuamente os IP públicos que expõem as portas 5000, 5001, 8080 e 8443 típicas das interfaces DSM e QTS. Qualquer NAS diretamente alcançável a partir da Internet via UPnP ou encaminhamento de portas é um alvo potencial, quer seja usado em casa quer numa pequena empresa.

Os meus snapshots Synology ou QNAP podem ser cifrados pelo ransomware?

Depende da configuração. Os snapshots BTRFS da Synology (Snapshot Replication) e os snapshots QNAP (Storage & Snapshots) baseiam-se no copy-on-write ao nível do sistema de ficheiros: um atacante com acesso admin normal no NAS não pode modificar diretamente os snapshots depois de criados. No entanto, pode eliminá-los através da interface ou da CLI. Para uma proteção robusta, tem de ativar o modo imutável / só de leitura nos snapshots (DSM 7.2+, QuTS hero) e limitar rigorosamente que contas admin os podem manipular.

Devo pagar o resgate DeadBolt ou eCh0raix?

Não, nunca como primeira reação. A CISA, o FBI, o NCSC britânico e a Europol recomendam unanimemente não pagar. O DeadBolt distingue-se por integrar o seu ecrã de pagamento na interface de login QTS sequestrada, o que cria pressão psicológica. Várias vítimas que pagaram nunca receberam uma chave funcional. Além disso, em 2022 a polícia neerlandesa apreendeu 155 chaves DeadBolt simulando pagamentos e cancelando depois as transações Bitcoin logo após receber a chave — prova de que o procedimento de escrow Bitcoin do grupo é explorável. Antes de qualquer pagamento, consulte os catálogos No More Ransom e Emsisoft Decryptor.

Como isolo um NAS infetado sem o desligar fisicamente da corrente?

O reflexo certo é cortar o acesso à Internet sem tocar no próprio NAS. Inicie sessão no router da Internet e desative todas as regras de encaminhamento de portas que apontam para o IP local do NAS, bem como o UPnP automático. A cifragem ativa para porque as estirpes modernas comunicam com um servidor C2 para obter as suas chaves. Não corte a alimentação do NAS: a RAM pode ainda conter chaves de cifragem em claro, recuperáveis por um analista forense com uma imagem da memória.

Devo expor o meu NAS Synology ou QNAP à Internet?

O mais seguro é não o expor de todo. Se precisar de acesso remoto, use uma VPN (WireGuard, OpenVPN, o servidor VPN integrado no DSM ou o QNAP QVPN) em vez de encaminhamento de portas direto. Opção intermédia: proxy inverso com allowlist de IP e um certificado válido. Para partilha ocasional de ficheiros, os serviços cloud dos fabricantes (Synology QuickConnect, myQNAPcloud) são menos arriscados do que a exposição direta mas acrescentam uma dependência de terceiros. Regra de ouro: nenhum serviço NAS deve ser alcançável a partir de 0.0.0.0 sem uma camada de autenticação forte (chave, MFA) à frente.

Ransomware em NAS Synology e QNAP: recuperação e prevenção 2026

Os dispositivos NAS Synology e QNAP de consumo e de PME figuram entre os alvos mais lucrativos para os grupos de ransomware desde 2019. Formatos compactos, grande capacidade de armazenamento, configurações muitas vezes predefinidas e — sobretudo — exposição direta à Internet via UPnP ou encaminhamento de portas para permitir o acesso remoto a partir de casa ou do escritório. O resultado está bem documentado: as campanhas DeadBolt, eCh0raix e Qlocker infetaram um grande número de dispositivos, com uma aceleração marcada entre 2022 e 2026.

Este guia explica como funcionam estes ataques, como reagir nos minutos seguintes a uma infeção, como restaurar a partir dos snapshots integrados (Synology BTRFS, QNAP ZFS) e como endurecer um NAS para que deixe de ser um alvo fácil.

Porque os dispositivos NAS de consumo são massivamente visados

Três fatores convergiram desde 2019:

Exposição direta à Internet. O padrão de uso típico de um NAS familiar ou de PME é ativar o acesso remoto para fotos ou documentos a partir do exterior da rede doméstica. O UPnP do router abre automaticamente as portas 5000/5001 (Synology DSM) ou 8080/8443 (QNAP QTS) sem qualquer passo manual. Os operadores de ransomware analisam continuamente estas portas — uma varredura IPv4 completa demora menos de 30 minutos com um cluster Masscan.
Vulnerabilidades aplicacionais recorrentes. O Photo Station, o Hybrid Backup Sync, o Container Station, o Surveillance Station e os pacotes de terceiros introduzem regularmente CVE críticas. Muitos utilizadores adiam as atualizações automáticas por receio de quebrar uma configuração funcional.
Configurações predefinidas fracas. Conta admin predefinida ativa, palavra-passe simples, 2FA desativada, SSH aberto, sem bloqueio automático de IP — ainda a norma para a maioria dos NAS de consumo instalados antes de 2023.

O resultado é um terreno de caça industrializado. Os grupos DeadBolt e eCh0raix operam em modo automatizado: analisar, explorar, cifrar, exigir resgate — sem intervenção humana entre a análise e a cifragem.

DeadBolt: a campanha QNAP mais violenta

O DeadBolt apareceu em janeiro de 2022. A sua marca registada: o grupo sequestra diretamente o ecrã de login QTS no NAS para exibir a nota de resgate — o utilizador já não consegue aceder ao seu próprio NAS, e a interface que vê é a dos atacantes.

Vetor de infeção: exploração da CVE-2022-27593 (vulnerabilidade de referência a ficheiro externo no Photo Station que permite a execução remota de código). Uma variante explorou também uma falha no próprio QNAP QTS.

Mecanismo: cifragem AES-256 dos ficheiros do utilizador, acréscimo da extensão .deadbolt, eliminação seletiva dos snapshots acessíveis pela interface. O binário não toca no próprio firmware QTS.

Exigência: 0,03 BTC por NAS (cerca de 1.200 USD em 2022, até 2.800 USD no pico do Bitcoin de 2024). Procedimento de escrow invulgar: o pagamento é enviado diretamente para um endereço Bitcoin mostrado na interface QTS sequestrada, e a chave de decifragem é devolvida mais tarde através de uma transação Bitcoin que contém um OP_RETURN.

Impacto documentado: um grande número de NAS QNAP foram infetados no pico de janeiro-março de 2022, com mais dispositivos atingidos na onda de setembro de 2022 e ondas residuais até 2023-2024. A polícia neerlandesa interveio em outubro de 2022 e apreendeu 155 chaves DeadBolt simulando pagamentos e cancelando depois as transações Bitcoin antes da confirmação do lado do atacante — revelando uma fraqueza processual no grupo.

A QNAP forçou uma atualização de segurança QTS em fevereiro de 2022 a todos os dispositivos registados. Qualquer NAS sem acesso à Internet ou não registado permaneceu vulnerável.

eCh0raix / QNAPCrypt: a estirpe longeva de Synology e QNAP

O eCh0raix (também chamado QNAPCrypt) apareceu em 2019 e mantém-se ativo em 2026. Ao contrário do DeadBolt, o eCh0raix visa tanto a Synology como a QNAP e usa vários vetores de infeção em paralelo.

Vetores:

Força bruta SSH em contas admin com palavras-passe fracas.
Força bruta da interface web (DSM, QTS) com dicionários.
Exploração de CVE aplicacionais (HBS3 na QNAP, Photo Station, versões DSM mais antigas).
Phishing dirigido a administradores com malware que deixa cair uma chave SSH.

Mecanismo: cifragem AES através da biblioteca crypto de Go, acréscimo da extensão .encrypt, deixa cair README_FOR_DECRYPT.txt ou README_HOW_TO_DECRYPT.txt em cada pasta afetada. Os ficheiros abaixo do kilobyte e os ficheiros de sistema são ignorados.

Exigência: variável por estirpe, entre 0,024 e 0,06 BTC. Os pagamentos circulam pela infraestrutura Tor.

Particularidade técnica: o grupo reutilizou durante muito tempo uma única chave-mestra em várias vítimas, o que permitiu à Emsisoft publicar um decryptor gratuito em 2019 para as variantes mais antigas. As versões a partir de meados de 2020 usam chaves geradas de forma única — não existe qualquer decryptor gratuito para as estirpes modernas.

Qlocker: o ataque-relâmpago de abril de 2021

O Qlocker chegou em abril de 2021 e tornou-se notório pela sua simplicidade brutal. O ransomware não tinha qualquer mecanismo de cifragem proprietário: usava simplesmente o 7-Zip (o binário 7z instalado por defeito na QNAP) para arquivar os ficheiros do utilizador em arquivos .7z protegidos por palavra-passe.

Vetor: exploração da CVE-2021-28799 no Hybrid Backup Sync (HBS3), que permite o acesso de administrador não autenticado.

Mecanismo: um script executava 7z a -p<password> -mx1 archive.7z files/ para cada pasta de utilizador, eliminava os originais e deixava cair !!!READ_ME.txt. Muito rápido (nível de compressão 1), muito eficaz, totalmente reversível se a palavra-passe puder ser recuperada.

Exigência: 0,01 BTC por NAS (~500 USD em abril de 2021). A velocidade de execução e o resgate modesto levaram muitas vítimas a pagar — a Emsisoft documentou centenas de pagamentos numa semana.

Fraqueza do grupo: a campanha foi de curta duração — uma falha permitiu brevemente a algumas vítimas recuperar a palavra-passe sem pagar, e os operadores encerraram o seu site Tor cerca de uma semana após o início.

Variantes Cl0p Synology e campanhas 2023-2025

Entre 2023 e 2025, várias campanhas visaram especificamente os dispositivos Synology DSM expostos:

Cl0p Synology (variante Linux do ransomware Cl0p): visou Synology DSM através de serviços SMB expostos no Q4 de 2023.
Cheers / Cheerscrypt: adaptações Linux/QNAP de estirpes originalmente dirigidas ao VMware ESXi.
Repetições eCh0raix: campanhas periódicas em 2024-2025 que exploravam a CVE-2023-39296 no DSM 7.2.

O fio condutor: cada campanha explorou ou uma CVE aplicacional não corrigida ou uma conta admin fracamente protegida. Nenhuma campanha explorou um zero-day no próprio kernel DSM ou QTS — as defesas ganham-se quase sempre ao nível da configuração e dos pacotes expostos.

CVE-chave a monitorizar

Unidades de armazenamento montadas num rack

As seguintes CVE foram ativamente exploradas nas recentes campanhas de ransomware em NAS:

CVE-2024-32962: QNAP QTS e QuTS hero, escalada de privilégios através de uma falha no módulo de gestão de partilhas de rede. Corrigida em maio de 2024.
CVE-2023-39296: Synology DSM 7.2, contorno da autenticação através de uma falha no componente Web Station. Corrigida em setembro de 2023.
CVE-2022-27593: QNAP Photo Station, execução remota de código via ficheiro referenciado externo (RCE não autenticada). Vetor primário da primeira onda DeadBolt.
CVE-2021-28799: QNAP Hybrid Backup Sync (HBS3), autenticação quebrada que permite o acesso admin sem credenciais. Vetor primário do Qlocker.

Se gere um NAS que não recebeu as correções associadas, considere o aparelho comprometido ou pré-comprometido.

Comparação das três famílias principais

Família	Vetor de infeção	Mecanismo	Exigência	Estado do decryptor 2026
DeadBolt	CVE-2022-27593 QNAP Photo Station, CVE QTS	Cifragem AES-256, extensão `.deadbolt`, interface QTS sequestrada	0,03 BTC	Parcial: 155 chaves apreendidas pela polícia neerlandesa distribuídas via No More Ransom
eCh0raix / QNAPCrypt	Força bruta SSH, CVE HBS3, exploits DSM	Cifragem AES via crypto Go, extensão `.encrypt`, nota README_FOR_DECRYPT.txt	0,024 a 0,06 BTC	Decryptor Emsisoft apenas para as estirpes 2019-meados de 2020
Qlocker	CVE-2021-28799 QNAP HBS3	Arquivamento 7-Zip com palavra-passe, extensão `.7z`	0,01 BTC	Sem decryptor oficial, recuperação possível via palavras-passe vazadas do servidor Tor

Procedimento de emergência: os primeiros 30 minutos

Passo 1 — Cortar a Internet sem tocar no NAS

Inicie sessão no router da Internet. Desative:

Todas as regras de encaminhamento de portas que apontam para o IP local do NAS.
O UPnP automático.
As regras de exposição DMZ, se existirem.

A cifragem ativa para porque a maioria das estirpes modernas comunica com um servidor C2 para obter ou armazenar chaves. Não corte a alimentação do NAS: a RAM pode ainda conter chaves de cifragem em texto claro, recuperáveis por um analista forense com uma imagem da memória.

Passo 2 — Acesso SSH local para diagnóstico

A partir de um PC na LAN (nunca a partir da Internet), abra um terminal:

# Ligação ao NAS na rede local
ssh admin@192.168.1.100

# Listar volumes para identificar a extensão do ransomware
ls -la /volume1/
ls -la /share/

# Contar quantos ficheiros estão cifrados (ajuste a extensão)
find /volume1 -name "*.deadbolt" | wc -l
find /volume1 -name "*.encrypt" | wc -l
find /volume1 -name "*.7z" -newer /etc/hostname | wc -l

# Ler a nota de resgate
find /volume1 -name "README_FOR_DECRYPT*" -exec cat {} \;
find /volume1 -name "!!!READ_ME*" -exec cat {} \;

# Listar processos suspeitos em execução
ps -ef | grep -iE "encrypt|7z|deadbolt"

# Verificar os snapshots existentes (QNAP QuTS hero)
zfs list -t snapshot

# Verificar os snapshots Synology (BTRFS)
sudo btrfs subvolume list /volume1

O objetivo não é reparar mas documentar: identificar a extensão, a família, o padrão de cifragem, o âmbito (quantos ficheiros, quantas partilhas afetadas).

Passo 3 — Identificação precisa via ID Ransomware

Descarregue um ficheiro cifrado (de pequeno tamanho) e a nota de resgate para um PC limpo. Carregue ambos para o ID Ransomware — a ferramenta da MalwareHunterTeam cobre todas as estirpes NAS conhecidas. O nosso guia do ID Ransomware detalha o procedimento.

Uma identificação precisa diz-lhe se existe um decryptor gratuito (DeadBolt com as 155 chaves apreendidas, estirpes eCh0raix mais antigas).

Passo 4 — Verificar o estado dos snapshots

No Synology DSM:

DSM → Snapshot Replication → separador Snapshots.
Liste os snapshots existentes por partilha.
Identifique o snapshot mais recente datado de antes do aparecimento dos ficheiros cifrados.

No QNAP QTS / QuTS hero:

QTS → Storage & Snapshots → Snapshot Manager.
Liste os snapshots por volume.
No QuTS hero (ZFS), os snapshots geralmente resistem a um atacante que não detém a função dedicada.

Se existirem snapshots limpos, a via de recuperação é clara. Caso contrário, consulte a secção DFIR mais abaixo.

Restauro baseado em snapshots

Synology Snapshot Replication (BTRFS)

Os snapshots Synology baseiam-se no copy-on-write BTRFS e estão desativados por defeito nos volumes EXT4. Verifique primeiro o formato do seu volume:

DSM → Storage Manager → separador Volume → formato exibido.
Se EXT4: os snapshots não estão disponíveis. Consulte a secção Hyper Backup.
Se BTRFS: os snapshots podem ser ativados e provavelmente já estão presentes se seguiu as recomendações da Synology.

Procedimento de restauro:

DSM → Snapshot Replication → separador Recovery.
Selecione a partilha afetada.
Selecione o snapshot datado de antes do ataque.
Escolha Restore → confirme.

O restauro é executado ao nível da partilha. É criado um ponto de rollback antes do restauro, tornando a operação não destrutiva.

Para tornar os snapshots resistentes a um atacante que detém o admin do DSM:

Ative o modo imutável / só de leitura nos snapshots (DSM 7.2+).
Configure uma retenção longa (mínimo 30 dias) com agendamento automático.
Restrinja que contas admin podem manipular os snapshots.

Snapshots QNAP (ZFS no QuTS hero, EXT4 no QTS)

No QuTS hero, o sistema de ficheiros ZFS fornece snapshots robustos por construção:

QTS → Storage & Snapshots → Snapshot Manager.
Selecione o volume.
Lista de snapshots → clique com o botão direito no snapshot anterior ao ataque → Revert.

No QTS clássico com EXT4, os snapshots são geridos por um módulo dedicado e são menos robustos do que os snapshots ZFS. O procedimento de restauro é semelhante mas o isolamento contra um atacante ao nível admin é mais fraco.

Configure Block-Based Snapshot com no mínimo 30 dias de retenção e ative a replicação de snapshots para um segundo NAS ou uma cloud imutável através do HBS3.

Hyper Backup Synology e HBS3 QNAP: a camada acima dos snapshots

Os snapshots permanecem locais. Para defesa em profundidade, acrescente uma cópia de segurança off-site com versionamento:

Synology Hyper Backup:

Cópia de segurança para Synology C2, Backblaze B2, Wasabi, Amazon S3, OneDrive, Google Drive.
Cifragem AES-256 do lado do cliente.
Versionamento configurável (até 256 versões).
Modo imutável disponível em C2 e B2 através de Object Lock — um atacante que controla o DSM não pode eliminar as versões bloqueadas.

QNAP HBS3 (Hybrid Backup Sync):

Os mesmos destinos.
Nota: é o pacote que contém a CVE do Qlocker (CVE-2021-28799). Mantenha-o rigorosamente atualizado.
Configuração imutável suportada nos destinos compatíveis com S3.

Para uma PME, combinar snapshot local + Hyper Backup ou HBS3 para uma cloud imutável + uma cópia fria num disco externo rotativo constitui uma estratégia 3-2-1 robusta.

Escolha editorial

4.5 / 5

Estratégia 3-2-1 com EaseUS Todo Backup

Fundada em 2004Garantia de 30 diasVersão gratuita de 2 GB

Ver a oferta

O que fazer sem snapshot nem cópia de segurança

O caso mais difícil: um NAS em EXT4 sem snapshots e sem Hyper Backup. Duas vias restantes.

Recuperação forense a partir de imagem de disco

Retire os discos do NAS e ligue-os a um PC Linux ou Windows:

DiskInternals Linux Reader (Windows) lê os volumes Synology EXT4 e BTRFS em modo só de leitura.
R-Studio NAS reconhece as configurações Synology Hybrid RAID (SHR) e os volumes QNAP.
EaseUS Data Recovery monta as imagens e analisa por assinatura: pode recuperar fragmentos não cifrados de ficheiros (o ransomware escreve frequentemente o ficheiro cifrado num novo inode e marca o anterior como livre — o conteúdo anterior permanece legível até ser sobrescrito).

O método completo está detalhado no nosso guia de recuperação pós-ransomware.

Decryptors gratuitos

Se a estirpe for DeadBolt, experimente primeiro as 155 chaves apreendidas pela polícia neerlandesa e redistribuídas através do No More Ransom. Para as estirpes eCh0raix de 2019-meados de 2020, a ferramenta Emsisoft é gratuita. Para as estirpes modernas, não existe qualquer decryptor público à data deste texto.

Endurecimento pós-incidente

Uma vez restaurado o NAS, nunca o volte a colocar na Internet na mesma configuração. Lista mínima de endurecimento:

Desative o UPnP no router da Internet e no NAS.
Sem encaminhamento de portas direto para o NAS. Se for necessário acesso remoto: VPN (WireGuard, OpenVPN ou o servidor VPN integrado no DSM / QNAP QVPN).
Proxy inverso com allowlist de IP se a exposição for estritamente necessária para um serviço de negócio.
2FA obrigatória em todas as contas admin (TOTP no mínimo, idealmente chaves FIDO2 suportadas pelo DSM 7.2+ e QuTS hero).
Desative a conta admin predefinida, crie uma conta admin pessoal com um nome diferente.
Bloqueio automático de IP após 3 tentativas falhadas na interface web e SSH.
SSH desativado por defeito, ou autenticação só por chave (sem palavra-passe).
Auto-atualização DSM / QTS ativada, pacotes expostos (Photo Station, HBS3, Container Station) mantidos rigorosamente atualizados.
Snapshots imutáveis com no mínimo 30 dias de retenção.
Cópia de segurança externa 3-2-1: 3 cópias dos dados, em 2 suportes diferentes, com 1 off-site e imutável. Para um NAS familiar: snapshot local + Hyper Backup para C2 ou Backblaze B2 + disco externo rotativo.

O detalhe decisivo: pare de expor o NAS

A lição repetida de cada campanha de ransomware em NAS desde 2019 é a mesma: os dispositivos NAS não diretamente expostos à Internet não foram atingidos. Nenhum caso documentado de infeção eCh0raix, DeadBolt ou Qlocker num NAS alcançável apenas via VPN.

Se gere um NAS familiar ou de PME e o acesso remoto é uma necessidade real, invista 30 minutos a configurar uma VPN — o WireGuard é trivial, funciona em smartphones e oferece proteção radical. O compromisso ergonómico (lançar uma app VPN antes de aceder aos ficheiros) é negligenciável face ao cenário de uma cifragem completa de um NAS familiar com 8 TB de fotos.

Para um aprofundamento sobre a estratégia de defesa contra ransomware em ambientes empresariais, consulte o nosso guia proteção contra ransomware para empresas 2026 e o benchmark melhor software anti-ransomware 2026. Se suspeita de um comprometimento ativo mas não sabe como proceder, comece com a nossa ferramenta de diagnóstico para definir os passos seguintes.

Recursos oficiais