Mit Falschem angelegt: Ransomware-Opfer knackt Kommando-Server

Von Christian Kahle am 14.10.2019 07:46 Uhr
46 Kommentare
Das war wohl ein klarer Fall von "mit dem Falschen angelegt". Die Betreiber der Muhstik-Ransomware hatten es geschafft, in ein System eines Entwicklers einzudringen, der daraufhin deren Server knackte und die Entschlüsselungs-Keys aller Opfer veröffentlichte.

Die fragliche Malware ist nach den bisherigen Erkenntnissen von Sicherheitsforschern seit September im Umlauf, also noch recht frisch. Der Schädling verbreitet sich dabei nicht klassisch als E-Mail-Anhang in Spam-Kampagnen, sondern nutzt ein etwas ausgeklügelteres System: Mit Brute-Force-Angriffen dringt er durch werksseitig gesetzte Login-Daten eines Firmware-Bestandteils in NAS-Speichersysteme des Herstellers QNAP ein.

Anschließend versperrt die Ransomware auf altbekannte Weise den Zugang zu den Dateien auf dem NAS. Der Key für eine Entschlüsselung der Daten wird auf einem Kommando-Server abgelegt. Zu den Opfern der Malware gehörte auch der Entwickler Tobias Frömel. Dieser fühlte sich aber wohl von der Sache auch herausgefordert und begann, die Malware zu analysieren.

Windows 10: So nutzt man den Ransomware- und Exploit-Schutz

Nicht ganz legal

Die Arbeit endete nun damit, dass Frömel die Entschlüsselungs-Keys aller bisherigen Opfer von dem Kommandoserver holte und ins Netz stellte. Alle derzeitigen Muhstik-Opfer sollten damit in der Lage sein, ihre Dateien auch ohne Zahlung des Lösegeldes zurückzuholen. Weiterhin stellte Frömel auch ein Tool (Download | Anleitung) bereit, mit dem sich auch neue Infektionen rückgängig machen lassen.

Der Entwickler räumte in seiner Veröffentlichung ein, dass sein Vorgehen streng genommen rechtlich nicht gedeckt ist. Allerdings dürfte ihm das kaum jemand zum Vorwurf machen. Im Übrigen hatte er vor seinem eigenen Angriff auf den Server der Ransomware-Betreiber selbst erst einmal das Lösegeld bezahlt, um seine Dateien wiederzubekommen. Aufgrund dessen bietet er die Keys und das Entschlüsselungs-Tool zwar kostenlos an, bittet zum Ausgleich aber um ein kleines Trinkgeld.

Siehe auch: Ransomware: Die Probleme werden alles andere als kleiner
whatsapp
Jede Woche neu: Top-News per E-Mail
46 Kommentare lesen & antworten
Desktop-Version anzeigen
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz