Bild: ZDNet
En användare fick sin hämnd på den ransomware gäng som krypterade sina filer genom att hacka deras server och släppa dekryptering nycklar för alla andra offer.
Detta hände tidigare idag och involverad Muhstik gang. Muhstik är en ny stam av ransomware som har varit aktivt sedan slutet av September, enligt rapporter [1, 2, 3].
Denna ransomware mål nätverk-attackerade storage (NAS) – enheter tillverkade av Taiwanesiska maskinvaran QNAP. Gänget bakom Muhstik ransomware är brute-tvinga QNAP NAS-enheter som har svaga lösenord för den inbyggda phpMyAdmin service, enligt ett säkerhetsmeddelande publiceras av företaget förra veckan.
Efter att ha fått tillgång till phpMyAdmin installation, Muhstik aktörer kryptera filer och spara en kopia av nycklar dekryptering på deras command and control (C&C) server. QNAP filer krypterade med Muhstik kan erkännas av varje fil som är nytt “.muhstik” file extension.
Irriterad programvara dev hacka tillbaka
En av gängets offer var Tobias Frömel, en tysk utvecklare av programvara. Frömel var ett av offren, som betalade lösen efterfrågan så att han kunde komma åt sina filer.
Dock, efter att betala lösen, Frömel har också analyserat den ransomware, fick inblick i hur Muhstik drivs, och hämtade sedan skurkar’ databas från deras server.
“Jag vet att det inte var lagligt från mig”, säger forskaren skrev i en textfil, som han publicerade på nätet på Pastebin tidigare idag, som innehåller 2,858 nycklar dekryptering.
“Jag är inte the bad guy här,” Frömel läggas till.
Gratis dekryptering metod nu tillgänglig
Förutom att släppa nycklar dekryptering, den tyska utvecklare också publicerat en decrypter att alla Muhstik offer kan använda för att låsa upp sina filer. Den decrypter är tillgängliga på MEGA [VirusTotal scan] och användning instruktioner finns tillgängliga på Bleeping Dator forum.
Under tiden, Frömel har varit upptagen med att anmäla Muhstik offer på Twitter om decrypter är tillgänglighet, rådgivning till användarna mot att betala lösen.
Bild: ZDNet
Frömel inte vill kommentera ytterligare för denna artikel förutom Pastebin inlägg. En säkerhetsforskare som såg Frömel arbete berättade ZDNet att han anmälda myndigheterna och lämnat uppgifter om Muhstik gang i hopp om att hjälpa myndigheterna att spåra hackare.
Trots Frömel agerande som strider mot lagen, är det mycket osannolikt att han kommer att åtalas för dataintrång tillbaka Muhstik gänget och hjälper tusentals drabbade. Men, säkerhet forskare uppmanas att samarbeta med myndigheter när hacka tillbaka, på liknande sätt som Avast arbetat med franska polisen att ta ner Retadup botnät.
Detta är den tredje ransomware stam som har setts i år riktar NAS-enheter, efter eCh0raix och annan namnlösa stam inriktning Synology-enheter. En gratis decrypter släpptes för eCh0raix offer i augusti.
Frömel s citat har redigerats för korrekt stavning.
Säkerhet
Linux för att få kärnan ” fel ” – funktionen
Googles krig mot deepfakes: val vävstolar, det aktier massor av AI-fejkade videos
De flesta malspam innehåller en skadlig URL dessa dagar, inte bifogade filer
Ransomware: Varför betala lösen är en dålig idé för alla i det långa loppet (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
De flesta Fortune 500-företag fortfarande otydlig om säkerhetsåtgärder (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter