[原创]受害者入侵黑客服务器，获取Muhstik解密密钥-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

[原创]受害者入侵黑客服务器，获取Muhstik解密密钥

发表于: 2019-10-11 22:54 2001

[原创]受害者入侵黑客服务器，获取Muhstik解密密钥

熊猫正正

2019-10-11 22:54

2001

今年九月份以来Muhstik勒索病毒黑产团队通过入侵一些公开的QNAP NAS设备，使用Muhstik勒索病毒对设备上的文件进行加密，加密后的文件名后缀变为muhstik，如果要解密文件，需要受害者支付0.09BTC(约合700美)的赎金......

此勒索病毒的勒索提示信息，如下所示：

近日一名德国的Muhstik勒索病毒受害者在支付了670欧元的赎金之后，对Muhstik勒索病毒解密服务器进行分析，发现黑客所使用的服务器里面包含多个WebShell脚本，很可能这个服务器已经被其他黑客入侵了，通过这些WebShell可以访问PHP脚本，于是他创建了一个PHP脚本，并使用它获取到了黑客服务器数据库上存储的2858个Muhstik解密的密钥

在获取到相应的解密密钥之后，他在论坛发表了这则消息，如下所示：

并在pastebin.com网站下公布了Muhstik的解密密钥，地址：

https://pastebin.com/raw/N8ahWBni

获取到的解密密钥，如下所示：

他在文档中声称：我知道这是非法的，但是我使用的是已经被黑客入侵的服务器，而且我不是坏人......

这位德国的受害者，他被勒索了670欧元，他感觉很伤心，是我，我也伤心，好几千块呢，所以他公布了自己的BTC钱包地址，希望有人能为他的这个行为而支付相应的BTC，得到一定的回报，BTC地址：

1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb

解密工具下载地址：

https://mega.nz/#!O9Jg3QYZ!5Gj8VrBXl4ebp_MaPDPE7JpzqdUaeUa5m9kL5fEmkVs

解密工具，使用方法：

1.上传到NAS设备

2.chmod +x decrypt 设置可执行权限

3.sudo ./decrypt YOURDECRYPTIONKEY 使用管理者权限执行，并传入解密密钥

下载解密工具，发现它是使用python脚本编写的，对解密工具进行逆向分析，还原出里面的python脚本，此解密工具会先遍历磁盘，寻找加密的文件或勒索信息文件，如下所示：

然后通过解密密钥进行解密，如下所示：

10月7号，Emsisoft也发布了可以运行在Windows平台上Muhstik的解密工具，如下所示：

解密工具下载地址：

https://www.emsisoft.com/ransomware-decryption-tools/free-download

打开解密工具，如下所示：

Emsisoft确实是一家良心的安全公司，一直在致力于开发和提供各种勒索病毒免费解密工具，此前Emsisoft安全公司的一位勒索病毒解密工具开发者，被全球一百多个勒索病毒黑产团伙跟踪，导致他不断更换住所，这些勒索病毒黑产团伙最后甚至还开发了一款以他的名字为命名的勒索病毒，该安全研究人员的人身安全可能都受到了威胁......

补充：

今天国外安全研究人员放出了 Muhstik解密工具的python源码

https://download.bleepingcomputer.com/demonslay335/decrypt_muhstik.py

使用方法：

usage: decrypt_muhstik.py [-h] -p PASSWORD -d DIRECTORY [-r]

Decrypt Muhstik Ransomware

optional arguments:

-h, --help show this help message and exit

-p PASSWORD, --password PASSWORD

Password to decrypt with (32 hex characters)

-d DIRECTORY, --directory DIRECTORY

Directory to decrypt (recursive)

-r, --remove

Delete the encrypted file if successful (careful!)

例子：

>python decrypt_muhstik.py -p fbb6193d8bbb1ecf7207f12d7c9cd2c8 -d D:\muhstik\test

最近一两年针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,真的是越来越多了，各企业一定要高度重视,黑产团伙一直在寻找新的攻击目标......

同时国外相关媒体已报道，美国多家医院也同意向Ryuk勒索病毒团伙支付勒索赎金，Ryuk勒索病毒每笔赎金高达28.8万美元，并专门针对国外一些大型的企业和机构进行攻击

知识星球天天威胁情报内容播放

phobos勒索病毒、Gozi银行木马、HawkEye键盘记录器、Emotet银行木马、AgentTesla商业间谍、Revenge RAT远控

CrySiS勒索病毒、njRAT远控

最后欢迎大家关注此公众号，扫描下方二维码：

本微信公众号专注于各种恶意软件分析与研究、追踪剖析这些恶意软件背后的黑产运作商业模式，这里不扯一些“假大空”的安全概念和框架，只有实实在在最基础的安全研究、最新的威胁情报、以及笔者的一些安全观点与看法

同时知识星球天天威胁情报每天都会提供全球最新的恶意样本信息，每天会分享各种安全技术文章，欢迎加入，跟我一起分析与研究真正的网络安全攻击行为与全球黑产团队组织活动情报，加入星球的朋友还可以加入《安全分析与研究》专业群，与群里的各位安全研究员一起交流，讨论，研究各种安全技术，让你在学习成长的路上多一个伙伴