Mit Falschem angelegt: Ransomware-Opfer knackt Kommando-Server

Das war wohl ein klarer Fall von "mit dem Falschen angelegt". Die Betreiber der Muhstik-Ransomware hatten es geschafft, in ein System eines Entwicklers einzudringen, der daraufhin deren Server knackte und die Entschlüsselungs-Keys aller Opfer veröffentlichte.
Die fragliche Malware ist nach den bisherigen Erkenntnissen von Sicherheitsforschern seit September im Umlauf, also noch recht frisch. Der Schädling verbreitet sich dabei nicht klassisch als E-Mail-Anhang in Spam-Kampagnen, sondern nutzt ein etwas ausgeklügelteres System: Mit Brute-Force-Angriffen dringt er durch werksseitig gesetzte Login-Daten eines Firmware-Bestandteils in NAS-Speichersysteme des Herstellers QNAP ein.

Anschließend versperrt die Ransomware auf altbekannte Weise den Zugang zu den Dateien auf dem NAS. Der Key für eine Entschlüsselung der Daten wird auf einem Kommando-Server abgelegt. Zu den Opfern der Malware gehörte auch der Entwickler Tobias Frömel. Dieser fühlte sich aber wohl von der Sache auch herausgefordert und begann, die Malware zu analysieren.


Nicht ganz legal

Die Arbeit endete nun damit, dass Frömel die Entschlüsselungs-Keys aller bisherigen Opfer von dem Kommandoserver holte und ins Netz stellte. Alle derzeitigen Muhstik-Opfer sollten damit in der Lage sein, ihre Dateien auch ohne Zahlung des Lösegeldes zurückzuholen. Weiterhin stellte Frömel auch ein Tool (Download | Anleitung) bereit, mit dem sich auch neue Infektionen rückgängig machen lassen.

Der Entwickler räumte in seiner Veröffentlichung ein, dass sein Vorgehen streng genommen rechtlich nicht gedeckt ist. Allerdings dürfte ihm das kaum jemand zum Vorwurf machen. Im Übrigen hatte er vor seinem eigenen Angriff auf den Server der Ransomware-Betreiber selbst erst einmal das Lösegeld bezahlt, um seine Dateien wiederzubekommen. Aufgrund dessen bietet er die Keys und das Entschlüsselungs-Tool zwar kostenlos an, bittet zum Ausgleich aber um ein kleines Trinkgeld.

Siehe auch: Ransomware: Die Probleme werden alles andere als kleiner
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!