微慑信息网

受害者入侵黑客服务器,获取Muhstik解密密钥

受害者入侵黑客服务器,获取Muhstik解密密钥

今年九月份以来Muhstik勒索病毒黑产团队通过入侵一些公开的QNAP NAS设备,使用Muhstik勒索病毒对设备上的文件进行加密,加密后的文件名后缀变为muhstik,如果要解密文件,需要受害者支付0.09BTC(约合700美)的赎金……

此勒索病毒的勒索提示信息,如下所示:

受害者入侵黑客服务器,获取Muhstik解密密钥

近日一名德国的Muhstik勒索病毒受害者在支付了670欧元的赎金之后,对Muhstik勒索病毒解密服务器进行分析,发现黑客所使用的服务器里面包含多个WebShell脚本,很可能这个服务器已经被其他黑客入侵了,通过这些WebShell可以访问PHP脚本,于是他创建了一个PHP脚本,并使用它获取到了黑客服务器数据库上存储的2858个Muhstik解密的密钥

在获取到相应的解密密钥之后,他在论坛发表了这则消息,如下所示:

受害者入侵黑客服务器,获取Muhstik解密密钥

并在pastebin.com网站下公布了Muhstik的解密密钥,地址:

https://pastebin.com/raw/N8ahWBni

获取到的解密密钥,如下所示:

受害者入侵黑客服务器,获取Muhstik解密密钥

他在文档中声称:我知道这是非法的,但是我使用的是已经被黑客入侵的服务器,而且我不是坏人……

这位德国的受害者,他被勒索了670欧元,他感觉很伤心,是我,我也伤心,好几千块呢,所以他公布了自己的BTC钱包地址,希望有人能为他的这个行为而支付相应的BTC,得到一定的回报,BTC地址:

1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb

解密工具下载地址:

https://mega.nz/#!O9Jg3QYZ!5Gj8VrBXl4ebp_MaPDPE7JpzqdUaeUa5m9kL5fEmkVs

解密工具,使用方法:

1.上传到NAS设备

2.chmod +x decrypt 设置可执行权限

3.sudo ./decrypt YOURDECRYPTIONKEY 使用管理者权限执行,并传入解密密钥

下载解密工具,发现它是使用python脚本编写的,对解密工具进行逆向分析,还原出里面的python脚本,此解密工具会先遍历磁盘,寻找加密的文件或勒索信息文件,如下所示:

受害者入侵黑客服务器,获取Muhstik解密密钥

然后通过解密密钥进行解密,如下所示:

受害者入侵黑客服务器,获取Muhstik解密密钥

10月7号,Emsisoft也发布了可以运行在Windows平台上Muhstik的解密工具,如下所示:

受害者入侵黑客服务器,获取Muhstik解密密钥

解密工具下载地址:

https://www.emsisoft.com/ransomware-decryption-tools/free-download

打开解密工具,如下所示:

受害者入侵黑客服务器,获取Muhstik解密密钥

Emsisoft确实是一家良心的安全公司,一直在致力于开发和提供各种勒索病毒免费解密工具,此前Emsisoft安全公司的一位勒索病毒解密工具开发者,被全球一百多个勒索病毒黑产团伙跟踪,导致他不断更换住所,这些勒索病毒黑产团伙最后甚至还开发了一款以他的名字为命名的勒索病毒,该安全研究人员的人身安全可能都受到了威胁……

解密工具开发者被追踪,Emsisoft发布JSWORM4.0解密工具

更多的勒索病毒解密工具,可以参考下面的这篇文章

企业中了勒索病毒该怎么办?可以解密吗?

最近一两年针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,真的是越来越多了,各企业一定要高度重视,黑产团伙一直在寻找新的攻击目标……

 

前日有一个朋友找到我,放假期间他的服务器被勒索了,拿到勒索病毒相关信息之后,发现是中了Sodinokibi勒索,黑客当天直接要价2万美金,当时没给,结果第二天就翻倍了,要价四万美金,真的是太黑心了……

受害者入侵黑客服务器,获取Muhstik解密密钥

同时国外相关媒体已报道,美国多家医院也同意向Ryuk勒索病毒团伙支付勒索赎金,Ryuk勒索病毒每笔赎金高达28.8万美元,并专门针对国外一些大型的企业和机构进行攻击

最后欢迎大家关注安全分析与研究公众号,本微信公众号专注于各种恶意软件分析与研究、追踪剖析这些恶意软件背后的黑产作商业模式,这里不扯一些“假大空”的安全概念和框架,只有实实在在最基础的安全研究、最新的威胁情报、以及笔者的一些安全观点与看法

同时知识星球天天威胁情报每天都会提供全球最新的恶意样本信息,每天会分享各种安全技术文章,欢迎加入,跟我一起分析与研究真正的网络安全攻击行为全球黑产团队组织活动情报,加入星球的朋友还可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴

加入知识星球,安全的路上,安全分析与研究 一路前行

长按识别二维码加入星球

受害者入侵黑客服务器,获取Muhstik解密密钥

安全的路很长,贵在坚持……

原文始发于微信公众号(安全分析与研究):受害者入侵黑客服务器,获取Muhstik解密密钥

本文标题:受害者入侵黑客服务器,获取Muhstik解密密钥
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2019/1009_8989.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 受害者入侵黑客服务器,获取Muhstik解密密钥
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们