Ofiara oprogramowania ransomware Muhstik zapłaciła atakującym za odszyfrowanie jego danych, a następnie podjęła inny rodzaj zwrotu – zemścił się, włamując się na serwer i kradnąc klucze deszyfrujące, tylko po to, aby zwolnić je każdemu, kto ich potrzebował. Deweloper oprogramowania, Tobias Frömel, wyjaśnił, że jego serwer QNAP TVS vNAS został zainfekowany przez oprogramowanie ransomware Muhstik.
W sumie 14 terabajtów danych zostało zaszyfrowanych, a on postanowił zapłacić okup w wysokości 670 euro, aby je odzyskać.
– Ransomware Muhstik jest podobno wykorzystywane do atakowania urządzeń QNAP NAS. Urządzenia używające słabych haseł serwera SQL i uruchamiające phpMyAdmin mogą być bardziej narażone na ataki , wyjaśnia poradnik QNAP . – Zdecydowanie zalecamy, aby użytkownicy działali natychmiast, aby chronić swoje dane przed możliwymi atakami złośliwego oprogramowania.
Atakujący Frömela użyli brute-force, aby ominąć poświadczenia phpMyAdmin, a ścieżka była otwarta. Po zapłaceniu okupu Tobias doszedł do wniosku, że może odeprzeć odzyskiwanie bazy danych z serwera przestępcy, który zawierał 2858 kluczy odszyfrowujących.
Deweloper opublikował wszystkie klucze na Pastebin i stworzył deszyfrator dla wszystkich osób dotkniętych ransomware. Działania Frömela były technicznie nielegalne, ale zostały zgłoszone odpowiednim władzom.