Le programmeur allemand Tobias Frömel (alias “battleck”) a piraté les auteurs de la rançon Muhstik qui l’ont forcé à payer 0,09 Bitcoin (BTC) pour récupérer l’accès à ses fichiers.
Plus de 3000 clés de décryptage
Frömel a révélé dans un message sur le forum de Bleeping Computer le 7 octobre, qu’il avait piraté la base de données des attaquants, partageant avec d’autres victimes près de 3000 clés de décryptage et un décrypteur gratuit.
Selon Bleeping Computer, les NAS QNAP exposés publiquement ont été la cible d’une rançon dénommée Muhstik. Les attaquants ont extorqué aux victimes une “redevance” fixe de 0,09 Bitcoin – environ 740 $ au moment de l’écriture de ces lignes – pour récupérer l’accès à leurs données via des clés de décryptage.
Ayant lui-même payé la somme de 670 € aux auteurs de Muhstik, Frömel a piraté leur serveur de commandement et de contrôle. Il a réussi à récupérer les identifiants matériels (HWID) et les clés de décryptage uniques stockées dans la base de données des attaquants pour les 2 858 victimes de Muhstik.
Les victimes ont depuis confirmé dans le forum de soutien et d’aide Muhstik de Bleeping Computer que les HWIDs sont exactes et que le décrypteur fonctionne.
Une action illégale mais juste selon Frömel
Frömel a reconnu l’illégalité de son action, mais a fait valoir qu’elle était bien intentionnée. Il a également fourni une adresse de portefeuille Bitcoin aux autres victimes pour lui donner un pourboire pour son travail.
Depuis le piratage de Frömel, la société anti-virus Emsisoft a publié un logiciel de décryptage pour les victimes utilisant des appareils QNAP basés sur ARM, qui n’auraient pas été pris en charge par Frömel.
Le mois dernier, Emsisoft a également publié un nouveau correctif gratuit pour le logiciel de rançon en Bitcoin WannaCryFake.