Barion Pixel
Szerző: 112Press 2019. december 23.

Telepíti a vírust? Igen, vagy persze? - Feltörte a zsarolók szerverét a Muhstik egyik áldozata

Rém egyszerű trükkel veri át még az óvatosabb felhasználók egy részét is egy rosszindulatú szoftver telepítője. Ön a képről rájön a trükkre? Cikkünk második felében pedig beszámolunk Tobias Frömel akciójáról, aki fizetett a kalózoknak, aztán kiszúrt velük.

A felvezető után persze már mindenki gyanakodva figyeli a képet, de azért kérjük olvasóinkat, nézzék meg és döntsék el gyorsan, akarják-e telepíteni a Flash Playert? Ha felvillan ez az ablak és kitakarja a munkájukat, akkor hogyan döntenének, melyik gombra kattintanának?
 
Melyik gombot választaná?
Nos, ha kattintottak a képen látható gombok bármelyikére, akkor egy nagy lépéssel közelebb kerültek a rosszindulatú szoftver telepítéséhez, ha pedig még az operációs rendszer figyelmeztetését is átlépik, miszerint egy nem ellenőrzött fejlesztő hozzáférést kér a rendszerhez, akkor onnantól nem urai többé a saját gépüknek.
 
A trükk rém egyszerű. A Flash Player frissítésével sokan találkoztak már, hiszen a sok sebezhetőséget rejtő és korábban szinte megkerülhetetlen szoftverrel futtatott tartalom sokak szórakozását szolgálta. Mára azonban háttérbe szorult, de sok millióan vannak, akiknek az emlékébe beégett, hogy időnként ezt a programot frissíteni kell, hogy elinduljon valami vicces, vagy szórakoztató.
 
Az általunk mutatott képen nem a Flash Player logója látható, ami már árulkodó lehet, de az igazi figyelmeztető jel a két gomb. A felhasználók megtanulták, hogy ilyen esetekben az [IGEN] és a  [NEM] közül lehet választani. Ha telepíteni akarnak, akkor kiválasztják az igent, de ha nem, akkor elolvassák az első gombot (esetünkben mindegy melyiket), majd automatikusan ráklikkelnek a másikra, ami elvileg az ellentéte az elsőnek.
 
Itt azonban a [FRISSÍTÉS] és a [TELEPÍTÉS] közül lehet választani, azaz mindkettővel felhatalmazzuk a szoftvert, hogy csinálja csak azt, amit akar.
 
Ilyen esetekben a böngészőablakot kell bezárni, de előtte a böngészőből lehet jelenteni a kéretlen, vagy veszélyes tartalmat, sok jelentés után pedig a böngésző egy átverésre, csalásra  figyelmeztető üzenetet jelenít meg az oldal megnyitása helyett.
 
Egyik gombra, vagy linkre sem szabad kattintani, az egész ablakot be kell zárni
 
Az Adobe egyébként 2020. decemberében végleg eltemeti a Flash Playert, a 2020. december 31-i Windows frissítéssel pedig a böngészőkből is eltűnik a Flash. Izgulni azonban csak azoknak kell, akik még mindig játszanak a 2000-es évek elejének népszerű minijátékaival, vagy erre épülő oktatóprogramjuk van, amit már nem fejlesztenek tovább.

Ne kattintsunk semmire, amiről nem tudjuk, mi az

A tanács egyszerűnek tűnik, de mégsem az. Sok informatikus vérnyomása emelkedett már meg a "feljött egy ablak, kiírt valamit én meg rákattintottam valamire, most meg nem működik semmi" jellegű panaszoktól. A csalóknak, ügyeskedőknek viszont pont az ilyen emberekre van szükségük, gátlástalanul kihasználják a naivitást, a figyelmetlenséget, természetesen anyagi haszonszerzés reményében, vagy erőfitogtatásként.

És mit veszthet a felhasználó a meggondolatlan gombnyomással? Elsősorban az adatait, másrészt a gépe teljesítményét, ha azt beállítják egy zombi seregbe. Onnantól a számítógép az erőforrások egy jelentős részét a behatoló szándékainak megvalósítására fordítja, ami az áramszámlán is megmutatkozik, hiszen ilyenkor folyamatosan szinte maximumon dolgozik a processzor, a videokártya.
 
Kifizette a váltságdíjat, majd feltörte a zsarolók szerverét a Muhstik egyik áldozata
 
Ahogyan arról beszámoltunk, zsarolóvírus fertőzött meg QNAP hálózati fájltárolókat szerte a világban, így Magyarországon is. Az áldozatok fájljait titkosították a bűnözők és azt több százezres váltságdíj fejében fejtették volna visza.
 
A támadásnak magyar károsultjai is voltak, akik jellemzően több terabájtnyi adatukhoz nem fértek hozzá. A támadás október elsején tetőzött, ahogyan akkor erről beszámoltunk.
 
Váltságdíjat követelnek az adatokért cserébe
 
A zsarolók minden általuk kódolt mappában elhelyeztek egy egyedi azonosítóval ellátott üzenetet arról, hogy hol fizethetik be a váltságdíjat a károsultak, illetve a kalózok még garanciát is vállaltak a módszer működésére, ugyanis bármelyik áldozat elküldhetett egy fájlt a cyberbűnözőknek, ők pedig kódolatlanul küldték azt vissza.
 
Napokig semmi bíztató jel nem volt arra nézve, hogy a károsultak visszakapják a fájljaikat, de aztán a bleepingcomputer.com fórumán megjelent egy érdekes és sokakat reménnyel eltöltő üzenet Tobias Frömeltől. A férfi beszámolt róla, hogy kifizetett 670 euro váltságdíjat, ami után egy szerverről letölthette a visszafejtéshez szükséges dekódolót és az egyedi azonosítójához tartozó kulcsot, ez pedig működött.
 
A Muhstik zsarolólevele
 
A sikeres visszafejtés után Tobias Frömel nem hagyta annyiban a dolgot, hanem ránézett a kalózok szerverére és némi munkával fel is törte azt, leszedve onnan 2800-nál több áldozat visszafejtéshez szükséges kulcsát, amit azon nyomban nyilvánosságra is hozott.
 
A férfi kicsit pironkodva ismerte be, hogy ezzel ő is bűncselekményt követett el, de reméli, ez ebben az esetben bocsánatosnak számít.
 
A Frömel által megszerzett kulcsok és dekódoló segítségével az Emsisoft elkészített egy programot, ami a zsarolólevélből kiszedi az egyedi azonosítót és hozzárendeli a visszafejtéshez szükséges kulcsot, majd a dekódolást is elvégzi.
 
A QNAP NAS-okat támadó Muhstik zsarolóvírus áldozatai így fellélegezhetnek, az adataik jó eséllyel visszaállíthatók. A NAS-ok üzemeltetői pedig talán nagyobb valószínűséggel végzik el a javasolt és kritikus frissítéseket a hálózati fájltárolókon, illetve módosítják az alapértelmezett jelszavakat.
 
Tobias Frömel közel 220 ezer forint váltságdíjat fizetett. Azok a felhasználók, akik általa ingyen jutottak a visszafejtési kódhoz remélhetőleg küldenek neki némi hozzájárulást a munkájáért, hiszen így egyrészt nem cyberbűnözőnek fizetnek, másrészt több százezer forintnyi váltságdíj helyett néhány ezer forintot biztosan megértek a visszakapott adatok.
 
 
 
hey guys,
good news for you all, bad news for me cause i paid already... maybe someone can give me a tip for my hard work ^^
my wallet: 1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb
 
i hacked back this criminal and get the whole database with keys, here it is:
 
decryption software:
 
manual:
upload to nas:
"chmod +x decrypt"
"sudo ./decrypt YOURDECRYPTIONKEY"
 
and yeah, i know it was not legal from me too but he used already hacked servers with several webshells on it... and im not the bad guy here :D
 
but its really sad, i lost 670 € to this criminal :'(
 
cheers
battleck aka tobias frömel
A hálózati meghajtó fontos fájljait titkosították a zsarolók
 
 

Kapcsolódó hírek

Hozzászólások

A cikkekhez csak regisztrált felhasználóink szólhatnak hozzá.
Kérjük, jelentkezzen be, vagy ha még nem tette, regisztráljon.

A szerkesztőség fenntartja magának a jogot, hogy a cikkekhez nem kapcsolódó kommenteket moderálja, törölje.