Немецкий программист Тобиас Фрёмель (Tobias Frömel) получил доступ к серверам операторов вымогателя Muhstik и опубликовал ключи, необходимые для расшифровки данных. Это произошло после того, как специалист заплатил злоумышленникам более 600 евро за возможность декодирования своей информации.
Первые сообщения о ранее неизвестном шифровальщике появились в Сети 30 сентября этого года. Пострадавшие сообщали, что злоумышленники подбирают пароли к сетевым хранилищам на базе NAS-устройств QNAP и кодируют находящиеся там файлы. В документе README_FOR_DECRYPT.txt, размещенном на взломанном диске, жертве предлагают несколько ссылок на ресурсы с дальнейшими инструкциями. За расшифровку информации киберпреступники требуют 0,09 биткойна (примерно 670 евро).
Этичный хакер создал декриптор для Muhstik:
В своем сообщении на Pastebin Фрёмель написал, что авторы вымогателя развернули свои веб-оболочки на уже скомпрометированных серверах, поэтому ему не пришлось взламывать чужие компьютеры. Этичный хакер пояснил, что сумел получить доступ к PHP-скрипту для генерации ключей и использовал его для вывода идентификаторов каждой жертвы.
Опубликованный документ содержит почти 3 000 секретных кодов Muhstik, сформированных программистом на основании полученных данных. Пострадавшие пользователи подтвердили работоспособность выложенных ключей. Специалист выразил сожаление, что уже заплатил злоумышленникам, и сообщил, что будет рад вознаграждению за свою работу.
Чуть позже в Интернете появился декриптор для Muhstik, созданный Фрёмелем, а также еще одна утилита для расшифровки, разработанная сторонней командой ИБ-экспертов. Связь вымогателей с операторами ботнета Muhstik, замеченного в ряде кибератак, пока не доказана.
Летом этого года сетевые хранилища QNAP уже становились целью вымогателей. Авторы шифровальщика eCh0raix пользовались отсутствием антивируса на сетевых устройствах и кодировали данные, подобрав пароль для доступа к системе. Специалисты довольно быстро научились восстанавливать информацию после атаки зловреда, воспользовавшись недостатками механизма генерации ключей.
Источник: https://threatpost.ru/muhstik-ransomware-decryption-keys-published-online/34413/