Offer for løsepengevirus tok hevn: Hacket hackerne og la ut krypteringsnøklene
(Foto: Colourbox/17521856)

Løsepengevirus

Offer for løsepengevirus tok hevn: Hacket hackerne og la ut krypteringsnøklene


Som regel setter man sin lit til antivirus og sikkerhetseksperter for beskyttelse mot hackerangrep, men i noen tilfeller er ofrene kompetente nok til å ta saken i egne hender.

Bleeping Computer og ZDNet melder nå om en datakyndig person som ble utsatt for et løsepengevirus, og som rett og slett tok hevn på hackerne.

Hacket C&C-serveren og fant nøklene

Tobias Frömel, en tysk programvareutvikler, var blant ofrene som nylig fikk filene sine kryptert av et løsepengevirus kalt Muhstik. 

Frömel endte riktignok opp med å betale løsepengesummen for å låse opp filene, men deretter, etter å ha analysert den ondsinnede programvaren, hacket han seg inn på bakmennenes C&C-server (command and control).

Der fikk han tilgang til dekrypteringsnøklene til samtlige av ofrene – 2858 stykker – som han deretter publiserte på Pastebin.com. I tillegg laget programvareutvikleren et dekrypteringprogram som han gjorde tilgjengelig via skytjenesten Mega.

Les også

– Ja, jeg vet det ikke var lovlig fra min side heller, men han brukte servere med flere webskall som allerede var hacket...og jeg er ikke skurken her, skriver Tobias Frömel i et innlegg på forumet til Bleeping Computer. Ifølge utvikleren betalte han 670 euro, cirka 6700 kroner for å få sine egne filer dekryptert.

Retter seg mot NAS-enheter

Andre ofre for løsepengeviruset skal ha bekreftet at Frömels dekrypteringsverktøy fungerer og at de har klart å låse opp filene sine igjen. Utvikleren publiserte ervervelsen av krypteringsnøklene i flere Twitter-meldinger.

Muhstik-programvaren retter seg mot NAS-enheter produsert av den taiwanske produsenten QNAP. Selskapet la ut en sikkerhetsmelding om den ondsinnede programvaren tidligere denne måneden, hvor de opplyser at alvorlighetsgraden for programvaren er høy.

Les også

Ifølge QNAP er det enheter som bruker svake SQL-serverpassord og kjører driftspakken phpMyAdmin som er ekstra utsatt for angrepene. Selskapet råder brukere til å blant annet bruke sterke phpMyAdmin-passord og deaktivere tjenesten når man har mulighet.

Kommentarer (11)

Kommentarer (11)
Til toppen