Ofiara oprogramowania ransomware Muhstik zapłaciła atakującym za odszyfrowanie jego danych, a następnie podjęła inny rodzaj zwrotu – zemścił się, włamując się na serwer i kradnąc klucze deszyfrujące, tylko po to, aby zwolnić je każdemu, kto ich potrzebował.
Deweloper kradnie hakerom klucze deszyfrujące
Deweloper oprogramowania, Tobias Frömel, wyjaśnił, że jego serwer QNAP TVS vNAS został zainfekowany przez oprogramowanie ransomware Muhstik. W sumie 14 terabajtów danych zostało zaszyfrowanych, a on postanowił zapłacić okup w wysokości 670 euro, aby je odzyskać.
„Ransomware Muhstik jest podobno wykorzystywane do atakowania urządzeń QNAP NAS. Urządzenia używające słabych haseł serwera SQL i uruchamiające phpMyAdmin mogą być bardziej narażone na ataki”, wyjaśnia poradnik QNAP. „Zdecydowanie zalecamy, aby użytkownicy działali natychmiast, aby chronić swoje dane przed możliwymi atakami złośliwego oprogramowania”. Atakujący Frömela użyli brute-force, aby ominąć poświadczenia phpMyAdmin, a ścieżka była otwarta. Po zapłaceniu okupu Tobias doszedł do wniosku, że może odeprzeć odzyskiwanie bazy danych z serwera przestępcy, który zawierał 2858 kluczy odszyfrowujących.
Bitdefender®
Lider w walce z ransomware
Chroń swoją organizację przed ransomware z rozwiązaniami, które najlepiej zapobiegają i blokują zagrożenia.
Deweloper opublikował wszystkie klucze na Pastebin i stworzył deszyfrator dla wszystkich osób dotkniętych ransomware. Działania Frömela były technicznie nielegalne, ale zostały zgłoszone odpowiednim władzom.