Вымогатель Muhstik – сравнительно новый шифровальщик, активность которого специалисты наблюдают с конца сентября 2019 года. Это вымогательское ПО предназначено для атак на NAS тайваньского производителя QNAP, и согласно сообщению компании, операторы шифровальщика брутфорсят QNAP NAS со слабыми паролями для встроенного phpMyAdmin.
Получив доступ к установке phpMyAdmin, операторы Muhstik шифруют файлы пользователей и сохраняют копию ключей дешифрования на своем управляющем сервере. Файлы, зашифрованные Muhstik, можно узнать по новому расширению .muhstik. Вымогатели требуют за расшифровку данных 0,09 биткоинов (примерно 700 долларов США).
Так уж вышло, что одной из жертв шифровальщика стал немецкий разработчик Тобиас Фремель (Tobias Frömel). Он заплатил злоумышленникам выкуп и сумел восстановить пострадавшие данные, однако на этом не успокоился. Изучив работу шифровальщика, исследователь в итоге смог извлечь БД с сервера преступников. На Pastebin эксперт пишет, что он понимает – это было незаконно, однако не он здесь «плохой парень». Также к этому посланию приложены 2858 ключей для дешифровки данных.
При этом Фремель не ограничился и простой публикацией ключей. Он также выпустил инструмент для дешифровки пострадавшей информации, доступный для скачивания через MEGA. Подробную инструкцию по его использованию можно найти на форуме Bleeping Computer.
В настоящее время эксперт уведомляет жертв Muhstik о доступности расшифровщика через Twitter, и советует пользователям не выплачивать выкуп.
Кроме того, опираясь на данные Фремеля, специалисты уже Emsisoft выпустили собственный расшифровщик для Windows, который так же можно использовать для расшифровки файлов, пострадавших от Muhstik.