Recuperación de datos tras ransomware en servidores y NAS
LockBit, BlackCat/ALPHV, Cl0p, Akira, DeadBolt, QLocker — recuperación sin pagar rescate
Diagnóstico:
Gratuito
Gratuito
Plataformas:
Windows/Linux/NAS
Windows/Linux/NAS
Desde:
2.200€
2.200€
Urgente:
24-48h
24-48h
Éxito:
70-95%
70-95%
Ransomware en entornos empresariales: la amenaza real
El ransomware empresarial no es el mismo que afecta a un PC doméstico. Los grupos de ransomware actuales atacan infraestructuras completas: servidores, NAS, backups y máquinas virtuales. Su objetivo es paralizar la empresa entera para maximizar la presión de pago. Según el INCIBE, España recibió más de 120.000 incidentes de ciberseguridad en 2025, con el ransomware como la principal amenaza para PYMES.
🦠 LockBit 3.0 / LockBit Black
El grupo de ransomware más activo globalmente. Cifra servidores Windows y Linux, máquinas virtuales ESXi y volúmenes compartidos. Usa cifrado AES-256 + RSA-2048. El ejecutable se despliega vía GPO de Active Directory para cifrar todos los equipos del dominio simultáneamente.
🐈 BlackCat / ALPHV
Escrito en Rust, multiplataforma (Windows, Linux, ESXi). Conocido por la «doble extorsión»: cifra los datos y amenaza con publicarlos. Ataca específicamente volúmenes VMFS de ESXi y VHDX de Hyper-V para paralizar la infraestructura virtual completa.
🔒 Cl0p
Especializado en explotar vulnerabilidades de transferencia de archivos (MOVEit, GoAnywhere). Exfiltra datos masivamente antes de cifrar. Afecta servidores de archivos, bases de datos SQL y volúmenes compartidos en NAS empresariales.
🔐 Akira
Ransomware relativamente nuevo que ataca PYMES a través de VPN Cisco sin MFA. Cifra servidores Windows, Linux y NAS. Particularmente agresivo con las copias de seguridad: busca y destruye backups antes de cifrar los datos de producción.
🔒 DeadBolt (NAS)
Específico para NAS QNAP y Synology expuestos a internet. Cifra archivos a nivel de carpeta compartida con AES-128. Los archivos aparecen con extensión .deadbolt. La página de login del NAS es reemplazada por la nota de rescate. Explotaba vulnerabilidades en QTS y Photo Station.
🔒 QLocker / eCh0raix (NAS)
QLocker usa 7-Zip para comprimir los archivos del NAS QNAP con contraseña. eCh0raix ataca NAS Synology y QNAP con fuerza bruta SSH o vulnerabilidades conocidas. Ambos son menos sofisticados que LockBit pero igualmente destructivos para los datos de la víctima.
Vectores de ataque: cómo entra el ransomware
- RDP expuesto (puerto 3389): El vector nº1 en España. Servidores Windows con Remote Desktop accesible desde internet, contraseñas débiles y sin MFA. Los atacantes hacen brute force o compran credenciales filtradas en mercados de la dark web.
- VPN sin MFA: VPN corporativas (Cisco, Fortinet, Pulse Secure) sin autenticación multifactor. Los atacantes usan credenciales válidas comprometidas para acceder a la red interna como un empleado legítimo.
- Phishing dirigido (spear phishing): Emails personalizados con adjuntos maliciosos o enlaces a sitios de descarga de malware. El payload inicial (Cobalt Strike, Brute Ratel) establece persistencia y se mueve lateralmente por la red.
- Vulnerabilidades de NAS expuestos: NAS Synology y QNAP con puertos 5000/5001/8080 accesibles directamente. CVE-2021-28799 (QNAP HBS3), CVE-2022-27593 (QNAP Photo Station), CVE-2021-28797 (Synology).
- Cadena de suministro (supply chain): Actualizaciones de software legítimo comprometidas (caso SolarWinds/Kaseya) que despliegan ransomware a través de herramientas de gestión remota (RMM) usadas por proveedores IT.
- Explotación de Exchange Server: Vulnerabilidades ProxyShell/ProxyLogon en Microsoft Exchange on-premise. Los atacantes obtienen ejecución de código con privilegios SYSTEM y despliegan el ransomware en todo el dominio.
Qué hacer inmediatamente tras un ataque de ransomware
⚠ Los primeros 30 minutos son críticos. Sigue estos pasos en orden:
- Desconecta la red inmediatamente. Desenchufa el cable de red de los servidores afectados. No apagues los equipos (los datos en RAM pueden contener claves de cifrado), pero aíslalos de la red para detener la propagación lateral.
- No pagues el rescate. No hay garantía de que recibirás la clave de descifrado. Además, pagar financia la actividad criminal y te convierte en objetivo recurrente. El 80% de las empresas que pagan vuelven a ser atacadas.
- No formatees ni reinstales. Formatear destruye evidencia forense y posibles vías de recuperación (shadow copies, snapshots, claves en memoria). No reinstales Windows ni el sistema operativo del NAS.
- Documenta todo. Captura de pantalla de la nota de rescate, extensión de los archivos cifrados, hora exacta del ataque, equipos afectados. Esta información es crítica para identificar la variante de ransomware.
- Contacta profesionales. Un laboratorio de recuperación de datos puede analizar la variante, verificar si existe decryptor público y plantear estrategias de recuperación alternativas (shadow copies, RAID, snapshots).
- Denuncia al INCIBE (017) y a la Policía Nacional (Brigada de Investigación Tecnológica). Es obligatorio para empresas con datos personales (RGPD Art. 33: notificación en 72h a la AEPD).
Nuestro enfoque de recuperación post-ransomware
No dependemos del descifrado. Nuestro enfoque combina múltiples técnicas para maximizar la recuperación de datos sin necesidad de pagar rescate:
1
Identificación de variante
Analizamos la nota de rescate, la extensión de los archivos y los patrones de cifrado para identificar la variante exacta. Consultamos bases de datos de decryptors (No More Ransom, ID Ransomware) por si existe herramienta de descifrado pública.
2
Shadow copies y snapshots
Muchos ransomwares intentan borrar las Volume Shadow Copies (VSS) de Windows, pero no siempre lo consiguen al 100%. Analizamos el volumen a nivel de disco buscando shadow copies residuales. En NAS, buscamos snapshots Btrfs/ZFS que pueden haber sobrevivido.
3
Reconstrucción RAID
Si el servidor usa RAID, clonamos todos los discos y reconstruimos el array virtualmente. En muchos casos, los archivos originales (no cifrados) permanecen en sectores no sobreescritos del RAID, especialmente si el cifrado fue parcial o se interrumpió.
4
Análisis forense del filesystem
El ransomware suele cifrar-in-place (sobreescribir el archivo) o cifrar-y-borrar (crear archivo cifrado + borrar original). En el segundo caso, el archivo original permanece en el disco hasta que su espacio se reutiliza. La recuperación mediante carving y journal analysis es viable.
5
Base de datos de decryptors
Mantenemos una base de datos actualizada de claves y herramientas de descifrado públicas. Cuando las fuerzas del orden desmantelan un grupo (caso Hive, caso LockBit), las claves se publican. Verificamos cada caso contra las claves disponibles.
Casos que recuperamos
💻 Máquinas virtuales cifradas
VMDKs cifrados en ESXi, VHDXs cifrados en Hyper-V. Si el ransomware cifró el datastore VMFS parcialmente o si existen snapshots de la VM anteriores al ataque, la recuperación del contenido de la VM es viable. También recuperamos VMs desde backups Veeam/NAKIVO cifrados.
🖥 NAS empresarial cifrado
Synology, QNAP, WD My Cloud con carpetas compartidas cifradas por DeadBolt, QLocker, eCh0raix. Recuperación vía snapshots Btrfs residuales, versiones anteriores en @Recently-Snapshot, o carving de archivos no sobreescritos en el sistema de ficheros.
🗃 Bases de datos SQL cifradas
SQL Server (.mdf/.ldf), MySQL, PostgreSQL. Las bases de datos suelen ocupar archivos grandes que el ransomware cifra parcialmente (solo los primeros MB). La reconstrucción de las páginas de datos no cifradas permite recuperar un alto porcentaje de los registros.
📦 Backups cifrados
Veeam (.vbk/.vib), Acronis (.tibx), Windows Server Backup, Time Machine. Los atacantes buscan y destruyen backups activamente. Si los backups estaban en volúmenes separados, offline o con immutability habilitada, pueden ser la vía principal de recuperación.
Elige el nivel de servicio
Tres opciones adaptadas a tu urgencia y presupuesto
Económico
15-25 días
No disponible
- No disponible para ransomware
Más solicitado
Estándar
5-15 días
Desde 2.200€ + IVA
- Diagnóstico en 4h
- Sin recuperación, sin coste
- Seguimiento online
Plazos y precios de recuperación post-ransomware
| Escenario | Descripción | Plazo | Precio |
|---|---|---|---|
| NAS cifrado (DeadBolt/QLocker) | NAS Synology/QNAP con archivos cifrados. Recuperación vía snapshots, carving o decryptor conocido. | 5–12 días | 2.200–4.000€ |
| Servidor Windows cifrado | Servidor con RAID + NTFS/ReFS cifrado. Shadow copies, journal analysis, reconstrucción RAID. | 7–20 días | 3.500–6.000€ |
| VMs cifradas (ESXi/Hyper-V) | VMDK/VHDX cifrados. Reconstrucción VMFS, análisis de snapshots VM, carving de datos de la VM. | 10–25 días | 4.000–8.000€ |
| Urgente | Prioridad absoluta. Equipo dedicado 24/7 incluyendo fines de semana. | 24–72h | +50% |
Preguntas frecuentes sobre ransomware en servidores
¿Se deben pagar los rescates de ransomware?
No. Según el FBI, Europol y el INCIBE, pagar el rescate no garantiza la recuperación (solo el 65% de quienes pagan reciben un decryptor funcional), financia a organizaciones criminales y convierte a la empresa en objetivo recurrente. Además, pagar a grupos sancionados (como los vinculados a Corea del Norte) puede tener consecuencias legales.
¿Existe algún decryptor gratuito para mi variante de ransomware?
Depende de la variante. El proyecto No More Ransom (nomoreransom.org), respaldado por Europol, publica decryptors gratuitos regularmente. También existen herramientas de Kaspersky, Emsisoft y Avast para variantes específicas. Sube un archivo cifrado y la nota de rescate a ID Ransomware (id-ransomware.malwarehunterteam.com) para identificar la variante y verificar si hay decryptor disponible.
¿Cómo recuperáis datos si el cifrado es AES-256 y no hay decryptor?
No intentamos romper el cifrado (es computacionalmente inviable). Nuestro enfoque es recuperar los datos sin descifrar: shadow copies de Windows no eliminadas, snapshots Btrfs/ZFS en NAS, archivos originales borrados pero no sobreescritos (cifrado tipo «encrypt-and-delete»), versiones anteriores en backups, datos en espacio libre del disco. La tasa de éxito depende del tipo de ransomware y del tiempo transcurrido.
¿Mi NAS QNAP fue atacado por DeadBolt. ¿Qué posibilidades hay?
DeadBolt cifra archivo por archivo con AES-128 y borra el original. Si tu QNAP tiene Btrfs y tenía snapshots habilitados, los archivos originales pueden estar intactos en los snapshots. Si el NAS usa EXT4, la recuperación depende de si el espacio de los archivos borrados ha sido sobreescrito. Cuanto antes actúes, mejor: no uses el NAS para nada más, no instales actualizaciones, no escribas datos nuevos.
¿Estoy obligado a notificar el ataque a la AEPD?
Si el ransomware afectó a datos personales (clientes, empleados, proveedores), sí. El RGPD (Art. 33) exige notificar a la AEPD en un máximo de 72 horas desde que se tiene conocimiento de la brecha. Si existe riesgo alto para los derechos de los afectados, también hay que notificar a los propios interesados (Art. 34). El incumplimiento puede suponer multas de hasta 20 millones de euros o el 4% de la facturación global.
¿Cuánto tiempo se tarda en recuperar un servidor cifrado por LockBit?
LockBit cifra rápidamente (AES + RSA) y elimina shadow copies de forma agresiva (vssadmin.exe delete shadows /all). La recuperación depende de: (a) si los backups sobrevivieron, (b) si el cifrado se completó al 100% o fue interrumpido, (c) si el servidor usa RAID con datos residuales. Plazo típico: 10-20 días para análisis completo + extracción. Servicio urgente: 3-7 días.
🚨 ¿Tu servidor o NAS ha sido cifrado por ransomware?
No pagues el rescate. No formatees. No apagues los equipos. Contacta con nosotros ahora.
Cada minuto cuenta: los datos en RAM pueden contener claves de cifrado.
O llámanos ahora: 900 899 002 — Atención en días laborables 9:00–19:00
Servicio Disponible en Toda España
Recogida gratuita* en 24h · Diagnóstico en 4 horas · Sin recuperación, sin coste
Servicios Relacionados
Recibe consejos y alertas de recuperación de datos
Guías prácticas, novedades y consejos para proteger tus datos. Sin spam.
Entérate de todo lo nuevo
WhatsApp