Deweloper ukradł hakerom klucze deszyfrujące

Ofiara oprogramowania ransomware Muhstik zapłaciła atakującym za odszyfrowanie jego danych, a następnie podjęła inny rodzaj zwrotu – zemściła się, włamując się na serwer i kradnąc klucze deszyfrujące, tylko po to, aby zwolnić je każdemu, kto ich potrzebował – poinformowali przedstawiciele firmy Bitdefender.

Tobias Frömel, deweloper oprogramowania, wyjaśnił, że jego serwer QNAP TVS vNAS został zainfekowany przez oprogramowanie ransomware Muhstik. W sumie 14 terabajtów danych zostało zaszyfrowanych, a on postanowił zapłacić okup w wysokości 670 EUR, aby je odzyskać.

„Ransomware Muhstik jest podobno wykorzystywane do atakowania urządzeń QNAP NAS. Urządzenia używające słabych haseł serwera SQL i uruchamiające phpMyAdmin mogą być bardziej narażone na ataki ” – wyjaśnia poradnik QNAP. „Zdecydowanie zalecamy, aby użytkownicy działali natychmiast, aby chronić swoje dane przed możliwymi atakami złośliwego oprogramowania”.

Atakujący Frömela użyli brute-force, aby ominąć poświadczenia phpMyAdmin, a ścieżka była otwarta. Po zapłaceniu okupu Tobias doszedł do wniosku, że może odeprzeć odzyskiwanie bazy danych z serwera przestępcy, który zawierał 2858 kluczy odszyfrowujących.

Deweloper opublikował wszystkie klucze na Pastebin i stworzył deszyfrator dla wszystkich osób dotkniętych ransomware. Działania Frömela były technicznie nielegalne i zostały zgłoszone odpowiednim władzom.