Tobias Frömel, là một lập trình viên người Đức đồng thời là một nạn nhân phải trả tiền chuộc để lấy lại dữ liệu đã bị hacker lấy cắp. Anh chàng này đã hack lại chính máy của của nhóm hacker và giúp mở khóa cho hàng ngàn nạn nhân bị ăn cắp dữ liệu khác.
Cụ thể, vào cuối tháng 9 vừa qua, các thiết bị lưu trữ gắn mạng (NAS) do nhà cung cấp phần cứng Đài Loan QNAP sản xuất đã bị tấn công bằng phần mềm ransomware có tên là Muhstik. Hacker đã mã hóa các tệp dữ liệu và yêu cầu mỗi nạn nhân phải trả 0,09 bitcoin, khoảng 700USD tiền chuộc.
Sau khi trả tiền chuộc, Frömel đã phân tích phần mềm ransomware này để hiểu về cách nó vận hành. Sau đó, anh chàng này quyết định hack lại máy chủ của tin tặc.
Dựa vào các dữ liệu và thông tin có trong máy chủ, Frömel đã truy cập vào tập lệnh PHP, tạo mật khẩu mới và giải mã cho 2.858 nạn nhân cũng bị hack giống mình đang được lưu trữ trong cơ sở dữ liệu.
Frömel còn xuất bản một bộ giải mã trên diễn đàn BleepingComputer và một bài đăng trên Twitter để tất cả các nạn nhân của Muhstik có thể sử dụng để mở khóa các tệp tin của họ.
Trong thông báo của mình, Frömel nói rõ rằng anh không phải là kẻ xấu và hành động của anh không mang tính trả thù. Anh biết rõ hành động đó không hợp pháp.
Một số nạn nhân đã sử dụng bộ giải mã của Frömel để tự giải mã các tập tin của mình và đã thành công. Thậm chí có người còn gửi tặng Frömel một ít bitcoin để cảm ơn.
Một nhà nghiên cứu bảo mật đã thông báo cho chính quyền khi thấy chia sẻ của Frömel. Ông đã cung cấp thông tin về bằng đảng tin tặc phía sau cho các nhà chức trách với hy vọng họ sẽ sớm bắt được chúng. Ông cho biết thêm, hành động của Frömel đã giúp đỡ hàng ngàn nạn nhân nên rất khó có khả năng bị truy tố dù đó là hành động trái pháp luật. Nhà nghiên cứu bảo mật này cũng khuyên Frömel nên trợ giúp nhà chức trách truy tìm những kẻ tấn công.
Để giải mã các tệp tin được mã hóa bởi Muhstik, công ty bảo mật Emsisoft hiện cũng đã phát hành một bộ giải mã chạy trên hệ điều hành Windows. So với cách của Frömel, bộ giải mã này có cách hoạt động đơn giản hơn. Bạn có thể truy cập vào link dưới đây để sử dụng bộ giải mã này nếu là nạn nhân của Muhstik.
https://www.emsisoft.com/ransomware-decryption-tools/muhstik