포스팅 내용

국내외 보안동향

Muhstik 랜섬웨어 피해자, 랜섬웨어 해킹해 복호화 키 공개

Muhstik Ransomware Victim Hacks Back, Releases Decryption Keys


Muhstik 랜섬웨어 피해자가 공격자를 역으로 해킹해 복호화 키 약 3천 개와 무료 복호화 툴을 공개했습니다.


공격자는 지난 9월 말부터 공개적으로 노출된 QNAP NAS 기기를 해킹해 저장된 파일을 암호화 시켰습니다. 


이 랜섬웨어는 암호화된 파일 뒤에 추가되는 확장자인 .muhstik에서 이름을 따와 Muhstik이라 명명되었습니다.


공격자는 피해자에게 파일을 복구해준다는 명목으로 0.09 비트코인(약 $700달러)를 요구합니다.



공격자 역으로 해킹당해


Muhstik 랜섬웨어의 피해자인 Tobias Fromel 씨는 랜섬머니로 670 유로를 지불한 후 공격자의 C&C 서버를 역으로 해킹했습니다.


Fromel 씨는 서버가 웹 쉘을 포함하고 있어 새로운 공격 타깃을 위한 패스워드를 생성하는 PHP 스크립트에 접근할 수 있었다고 밝혔습니다. 


암호화 키를 생성하고 이를 데이터베이스에 삽입하는 C&C 서버 내 PHP 스크립트 일부는 아래에서 확인하실 수 있습니다.

 


[그림 1] 랜섬웨어 서버 내 암호화 키 생성 부분

<이미지 출처: https://www.bleepingcomputer.com/news/security/muhstik-ransomware-victim-hacks-back-releases-decryption-keys/>



Fromel 씨는 동일한 웹 쉘을 사용하여 암호화 키 생성기를 기반으로 새로운 PHP 파일을 생성하고 공격 타깃에게 부여되는 고유한 HWID(Hardware ID)를 생성했습니다. 


그리고 Muhstik 피해자 2,858명에 대한 복호화 키가 데이터베이스에 저장되어 있었습니다.


HWID와 관련 복호화 키는 Muhstik 지원 포럼과 트위터를 통해 피해자들에게 전달되었습니다.



hey guys,

good news for you all, bad news for me cause i paid already... maybe someone can give me a tip for my hard work ^^

my wallet: 1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb

 

i hacked back this criminal and get the whole database with keys, here it is:

https://pastebin.com/N8ahWBni

 

decryption software:

https://mega.nz/#!O9Jg3QYZ!5Gj8VrBXl4ebp_MaPDPE7JpzqdUaeUa5m9kL5fEmkVs

 

manual:

upload to nas:

"chmod +x decrypt"

"sudo ./decrypt YOURDECRYPTIONKEY"

 

and yeah, i know it was not legal from me too but he used already hacked servers with several webshells on it... and im not the bad guy here :D

 

but its really sad, i lost 670 € to this criminal :'(

 

cheers

battleck aka tobias fromel



피해자들은 이 복호화 툴을 이용해 암호화된 파일을 해독할 수 있었다고 밝혔습니다.

 


[그림 2] 파일 해독

<이미지 출처: https://www.bleepingcomputer.com/news/security/muhstik-ransomware-victim-hacks-back-releases-decryption-keys/>





출처:

https://www.bleepingcomputer.com/news/security/muhstik-ransomware-victim-hacks-back-releases-decryption-keys/

https://pastebin.com/N8ahWBni


  1. 안테나곰 2019.10.10 09:22 신고  수정/삭제  댓글쓰기

    역으로 해킹해서 복호화키가 공개되었다니 대단하네요.
    그래도 랜섬웨어 피해 입지 않게 먼저 조심하는 게 좋을 것 같습니다.

티스토리 방명록 작성
name password homepage