Instruktaż/Tutorial Muhstik botnet?

[Spooky]

Unfortunately, newer versions (July 19, 2019 and later) are not decryptable at this time.

Ja bym nie liczył/czekał na cud. Jak komuś się to przytrafiło to powinien wyciągnąć wnioski i iść dalej.

Jak mawia klasyk ...

 

[grzenio]

To teraz powiedzcie mi: co np teraz robią duże firmy

Duże firmy z definicji nie korzystają z rozwiązań open source, a nawet jeśli to nie wystawiają tych rozwiązań na świat zewnętrzny.

Czyli co duże firmy używają IIS albo jak mają apache czy nginx ze strona firmową to tylko dostępna jest w sieci LAN? wrrr..
CEPH jest stosowany przez firmy tj. OVH.

 

[Spooky]

Czyli co duże firmy używają IIS albo jak mają apache czy nginx ze strona firmową to tylko dostępna jest w sieci LAN? wrrr..

Ja miałem na myśli phpMyAdmina (w kontekście tego wątku, prawdopodobnego winowajcę), Ty wspominasz o serwerach webowych - i tu się minęliśmy.

 

[Silas Mariusz]

Grzenio słabo na tą kwestię odpowiedział. Duże firmy udostępniają vhost - jeśli mowa o hostingu. Vhost ma uprawnienia tylko do zasobów usera. Jeśli coś atakuje przez luke w skrypcie php to z reguły wszystkie strony użytkownika zostają zainfekowane. W takich sytuacjach zawsze to użytkownik jest odpowiedzialny za tą kwestie. W przypadku gdzie QNAP oferuje znacznie więcej niż tylko hosting bo także magazyn zwiększa się nasze ryzyko a z tym powinna się także zwiększać świadomość bezpieczeństwa naszych danych. Ta sytuacja mi też daje sporo do myślenia, bo ja na QNAP mam odpalona VM z platformą hostingową na której lata chociażby to forum. Cały serwer jest wystawiony na świat co jest absolutnie normalne. Ale od kilku dni wciaz myślę co dalej...

 

[grzenio]

Grzenio słabo na tą kwestię odpowiedział. Duże firmy udostępniają vhost - jeśli mowa o hostingu. Vhost ma uprawnienia tylko do zasobów usera. Jeśli coś atakuje przez luke w skrypcie php to z reguły wszystkie strony użytkownika zostają zainfekowane. W takich sytuacjach zawsze to użytkownik jest odpowiedzialny za tą kwestie. W przypadku gdzie QNAP oferuje znacznie więcej niż tylko hosting bo także magazyn zwiększa się nasze ryzyko a z tym powinna się także zwiększać świadomość bezpieczeństwa naszych danych. Ta sytuacja mi też daje sporo do myślenia, bo ja na QNAP mam odpalona VM z platformą hostingową na której lata chociażby to forum. Cały serwer jest wystawiony na świat co jest absolutnie normalne. Ale od kilku dni wciaz myślę co dalej...

Kolega napisał o opensource wiec jako przykład podałem web serwer. Jest masa innych tego typu aplikacji opensource stosowanych ... postfix ? i jeszcze inne.

 

[zsolarewicz]

Probuje sie dostac do dysku z qnapa ale jakos nijak nie idzie, mozeby Qnap podpowiedzial jak uroatowac reszte tego,co zostalo niezainfekowane?
Pokazuje mi niby linux-raid ale nie wiem co to za format, szyfrowane to czy jak? /z linuxów oczywsicie probuje/.

Chyba ,ze MUHSTIK juz mi zrąbal partycje CACHEDEV..., u Was tez tak jest?;;

UPDATE: po ptakach, postawilem na nowo, jedyna watpliwosc to taka czy warto zostac przy systemie Qnapa..., poza tym: po grzyba mi teraz np mirror ?

 

[Usunięty użytkownik pigers]

RAID 1 aka mirror chroni przed awarią dysku.

 

[_Floyd]

A co ciekawe szkodnik omija S.

 

[Silas Mariusz]

Muhstik (QNAP) Ransomware (.muhstik) Support Topic - Page 9 - Ransomware Help & Tech Support

hey guys,
good news for you all, bad news for me cause i paid already... maybe someone can give me a tip for my hard work ^^
my wallet: 1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb

i hacked back this criminal and get the whole database with keys, here it is:

Link: https://pastebin.com/N8ahWBni


decryption software:
MEGA

manual:
upload to nas:
"chmod +x decrypt"
"sudo ./decrypt YOURDECRYPTIONKEY"

and yeah, i know it was not legal from me too but he used already hacked servers with several webshells on it... and im not the bad guy here

but its really sad, i lost 670 € to this criminal :'(

cheers
battleck aka tobias frömel

 

[korowiow]

Muhstik (QNAP) Ransomware (.muhstik) Support Topic - Page 9 - Ransomware Help & Tech Support

hey guys,
good news for you all, bad news for me cause i paid already... maybe someone can give me a tip for my hard work ^^
my wallet: 1JrwK1hpNXHVebByLD2te4E2KzxyMnvhb

i hacked back this criminal and get the whole database with keys, here it is:

Link: https://pastebin.com/N8ahWBni


decryption software:
MEGA

manual:
upload to nas:
"chmod +x decrypt"
"sudo ./decrypt YOURDECRYPTIONKEY"

and yeah, i know it was not legal from me too but he used already hacked servers with several webshells on it... and im not the bad guy here

but its really sad, i lost 670 € to this criminal :'(

cheers
battleck aka tobias frömel

ktoś próbował czy to działa ?

 

[Silas Mariusz]

Zacznijcie od tego, żeby znalezc czy Wasz kod jest na liście...

 

[korowiow]

Zacznijcie od tego, żeby znalezc czy Wasz kod jest na liście...

znalazłem

 

[Silas Mariusz]

no to na co czekasz

 

[zsolarewicz]

Super, tylko szkoda ,ze mi wczesniej partycje wywalil..((

 

[Silas Mariusz]

Jak niby wywalił partycje?

 

[zsolarewicz]

Jak niby wywalił partycje?

Tak niby, ze moglem zobaczyc tylko partycje systemowa, reszta RAW. To bylo na 3 albo 4 dzien od infekcji. Zreszta w linku od Muhstik'a
zagrozono takim dzialaniem.

 

[Silas Mariusz]

A próbowałeś r-studio zamapowac RAID virtualny? I przeskanować partycje w poszukiwaniu plików?

 

[zsolarewicz]

A próbowałeś r-studio zamapowac RAID virtualny? I przeskanować partycje w poszukiwaniu plików?

r-studio chyba nie, walczylem jakimis narzedziami z Hiren's Boot itp.

 

[Silas Mariusz]

R-Studio

 

[Usunięty użytkownik pigers]

Oho : Security Advisory for Muhstik Ransomware - Technical Advisory

Czyli po staremu, nie używasz , to wyłączasz.