SIKKERHET

Offer for løsepengevirus tok hevn: Hacket hackerne og la ut krypteringsnøklene

Broken Internet Data Encryption Concept Illustration. Red Open Padlock Alert Icon. Internet and Networks Data Safety.
Broken Internet Data Encryption Concept Illustration. Red Open Padlock Alert Icon. Internet and Networks Data Safety. Foto: Colourbox/17521856
9. okt. 2019 - 16:31

Som regel setter man sin lit til antivirus og sikkerhetseksperter for beskyttelse mot hackerangrep, men i noen tilfeller er ofrene kompetente nok til å ta saken i egne hender.

Bleeping Computer og ZDNet melder nå om en datakyndig person som ble utsatt for et løsepengevirus, og som rett og slett tok hevn på hackerne.

Hacket C&C-serveren og fant nøklene

Tobias Frömel, en tysk programvareutvikler, var blant ofrene som nylig fikk filene sine kryptert av et løsepengevirus kalt Muhstik. 

Frömel endte riktignok opp med å betale løsepengesummen for å låse opp filene, men deretter, etter å ha analysert den ondsinnede programvaren, hacket han seg inn på bakmennenes C&C-server (command and control).

Der fikk han tilgang til dekrypteringsnøklene til samtlige av ofrene – 2858 stykker – som han deretter publiserte på Pastebin.com. I tillegg laget programvareutvikleren et dekrypteringprogram som han gjorde tilgjengelig via skytjenesten Mega.

Data Security Encryption Photo Concept with Metallic Padlock on Laptop Computer Keyboard.
Les også

Denne tjenesten låser opp filer som er kryptert av løsepengevirus – har forhindret skade for nesten én milliard kroner

– Ja, jeg vet det ikke var lovlig fra min side heller, men han brukte servere med flere webskall som allerede var hacket...og jeg er ikke skurken her, skriver Tobias Frömel i et innlegg på forumet til Bleeping Computer. Ifølge utvikleren betalte han 670 euro, cirka 6700 kroner for å få sine egne filer dekryptert.

Retter seg mot NAS-enheter

Andre ofre for løsepengeviruset skal ha bekreftet at Frömels dekrypteringsverktøy fungerer og at de har klart å låse opp filene sine igjen. Utvikleren publiserte ervervelsen av krypteringsnøklene i flere Twitter-meldinger.

Muhstik-programvaren retter seg mot NAS-enheter produsert av den taiwanske produsenten QNAP. Selskapet la ut en sikkerhetsmelding om den ondsinnede programvaren tidligere denne måneden, hvor de opplyser at alvorlighetsgraden for programvaren er høy.

3d illustration of a laser scanner on a binary code embossed. Nuller og ettall. Binærkode.
Les også

Ny rapport: Kraftig økning i kryptert skadevare

Ifølge QNAP er det enheter som bruker svake SQL-serverpassord og kjører driftspakken phpMyAdmin som er ekstra utsatt for angrepene. Selskapet råder brukere til å blant annet bruke sterke phpMyAdmin-passord og deaktivere tjenesten når man har mulighet.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.