Som regel setter man sin lit til antivirus og sikkerhetseksperter for beskyttelse mot hackerangrep, men i noen tilfeller er ofrene kompetente nok til å ta saken i egne hender.
Bleeping Computer og ZDNet melder nå om en datakyndig person som ble utsatt for et løsepengevirus, og som rett og slett tok hevn på hackerne.
Hacket C&C-serveren og fant nøklene
Tobias Frömel, en tysk programvareutvikler, var blant ofrene som nylig fikk filene sine kryptert av et løsepengevirus kalt Muhstik.
Frömel endte riktignok opp med å betale løsepengesummen for å låse opp filene, men deretter, etter å ha analysert den ondsinnede programvaren, hacket han seg inn på bakmennenes C&C-server (command and control).
Der fikk han tilgang til dekrypteringsnøklene til samtlige av ofrene – 2858 stykker – som han deretter publiserte på Pastebin.com. I tillegg laget programvareutvikleren et dekrypteringprogram som han gjorde tilgjengelig via skytjenesten Mega.
Denne tjenesten låser opp filer som er kryptert av løsepengevirus – har forhindret skade for nesten én milliard kroner
– Ja, jeg vet det ikke var lovlig fra min side heller, men han brukte servere med flere webskall som allerede var hacket...og jeg er ikke skurken her, skriver Tobias Frömel i et innlegg på forumet til Bleeping Computer. Ifølge utvikleren betalte han 670 euro, cirka 6700 kroner for å få sine egne filer dekryptert.
Retter seg mot NAS-enheter
Andre ofre for løsepengeviruset skal ha bekreftet at Frömels dekrypteringsverktøy fungerer og at de har klart å låse opp filene sine igjen. Utvikleren publiserte ervervelsen av krypteringsnøklene i flere Twitter-meldinger.
Muhstik-programvaren retter seg mot NAS-enheter produsert av den taiwanske produsenten QNAP. Selskapet la ut en sikkerhetsmelding om den ondsinnede programvaren tidligere denne måneden, hvor de opplyser at alvorlighetsgraden for programvaren er høy.
Ny rapport: Kraftig økning i kryptert skadevare
Ifølge QNAP er det enheter som bruker svake SQL-serverpassord og kjører driftspakken phpMyAdmin som er ekstra utsatt for angrepene. Selskapet råder brukere til å blant annet bruke sterke phpMyAdmin-passord og deaktivere tjenesten når man har mulighet.
