Hakeri su hakovani, napravljen dekriptor za Muhstik ransomware!
Sajber kriminalci su se zamerili pogrešnoj osobi!
Od septembra traju napadi na otvorene QNAP NAS uređaje na kojima napadači zaključavaju fajlove, tražeći otkup za njihovo vraćanje. U pitanju je Muhstik ransomware, nazvan prema ekstenziji .muhstik koja se pojavljuje na kriptovanim fajlovima. Napadači za otključavanje fajlova zahtevaju otkupninu od 0,09 bitkoina, odnosno oko $700.
Tobias Frömel, jedna od žrtava Muhstik malvera, nakon što je platio €670 otkupnine, odlučio je da uzvrati udarac hakerskim napadom na C2 server napadača. Pomoću web shell skripti koje su se nalazile na serveru, Tobias je uspeo da dođe do PHP skripte koja generiše ključeve za nove žrtve. Deo skripte se nalazi na slici ispod:
Slika 1. PHP skripta - generisanje enkripcijskih ključeva na serveru napadača. Izvor slike: Bleeping Computer.
Hakovanje je ilegalna aktivnost, čak i kad su s druge strane „loši momci“. Preporuka je da se u ovakvim slučajevima najpre kontaktira policija.
Tobias je koristio isti web shell da napravi novi PHP fajl na osnovu generatora ključeva, a tako je otkrio i HWID brojeve koji su jedinstveni za svaku žrtvu, kao i ključeve za dekripciju za 2.858 žrtava koji su se nalazili u bazi podataka. Ključevi su podeljeni na BC forumu, Tviteru, Pastebinu i Mega, a Emsisoft je napravio ključeve za Windows.
Kada koristite dekriptor, potrebno je samo da navedete vrstu poruke koju ste dobili od napadača, a zatim se ključevi automatski preuzimaju sa Emsisoft servera i dodaju dekriptoru.
Druge Muhstik žrtve su potvrdile da dekripcijski ključevi rade i da su pomoću njih uspešno otključali svoje fajlove.
Slika 2. Otključavanje fajlova. Izvor slike: Bleeping Computer.
Protekle nedelje pojavila se još jedna dobra vest za žrtve ransomwara, jer su objavljeni dekripcijski ključevi za HildaCrypt ransomware.
Izvor: Bleeping Computer