Nhà phát triển tung ra key giải mã cho ransomware Maze, Egregor

Maze bắt đầu hoạt động từ tháng 5/2019 và mau chóng trở nên nổi tiếng nhờ kiểu đánh cắp dữ liệu và tống tiền kép độc đáo của mình. Hiện nay, nhiều ransomware khác đã học theo chiến thuật của Maze để buộc nạn nhân phải trả tiền chuộc dữ liệu.

Những kẻ đứng đằng sau Maze đã tuyên bố ngừng hoạt động vào tháng 10/2020. Tuy nhiên, thực tế chúng đã đổi tên ransomware thành Egregor từ tháng 9/2020 và tiếp tục hoạt động. Sau đó, chúng bị bắt ở Ukraina và Egregor cũng biến mất.

Sekhmet cũng là một chủng ransomware tương tự Maze nhưng bắt đầu hoạt động từ tháng 3/2020 khi mà Maze vẫn chưa tuyên bố "gác kiếm".

14 tháng sau, key giải mã chính của cả Maze, Egregor và Sekhmet đã được đăng tải trên diễn đàn của BleepingComputer bởi người dùng có tên "Topleak". Người này tự xưng là nhà phát triển của cả 3 ransomware kể trên.

Người này nói rằng việc đăng tải key giải mã đã được lên kế hoạch từ trước và không hề liên quan tới các chiến dịch truy quét gần đây của cơ quan thực thi pháp luật. Nhiều máy chủ và các đại lý nhánh của ransomware Maze, Egregor đã bị thu giữ và triệt phá.

Nhà phát triển cũng chia sẻ thêm rằng các thành viên trong nhóm sẽ không còn làm ransomware nữa. Họ cũng đã tiêu hủy tất cả mã nguồn cho các ransomware của họ.

Bài đăng trên diễn đàn BleepingComputer có đính kèm liên kết tải xuống một tệp 7zip với bốn tệp con lưu trữ key giải mã Maze, Egregor, Sekhmet và mã nguồn của malware "M0yv" mà chúng sử dụng.

Mỗi thư mục con lại chứa key giải mã chính công khai và key giải mã chính riêng được liên kết với các chi nhánh hoặc những đơn vị phân phối.

Dưới đây là số lượng key giải mã chính RSA-2048 cho mỗi ransomware:

• Maze: 9 key giải mã chính cho malware ban đầu nhắm mục tiêu vào người dùng không phải doanh nghiệp.
• Maze: 30 key giải mã chính.
• Sekhmet: 1 key giải mã chính.

Hai nhà nghiên cứu bảo mật Michael Gillespie và Fabian Wosar của Emsisoft xác nhận với BleepingComputer rằng những key này là chuẩn và có thể được dùng để giải mã các file bị mã hóa bởi 3 ransomware kể trên.

Hãng Emisoft cũng đã tung ra một phần mềm giải mã cho các nạn nhân bị nhiễm ransomware Maze, Egregor và Sekhmet. Tuy nhiên, để dùng phần mềm giải mã của Emisoft bạn cần có ghi chú tống tiền được tạo ra trong quá trình tấn công bởi nó có chứa key giải mã.

Bạn có thể tham khảo thêm tại đây:

• Phần mềm giải mã của Emisoft
• Link tới bài đăng của Topleak trên diễn đàn BleepingComputer

Chú ý: Link tải file 7zip trên diễn đàn BleepingComputer đã bị gỡ bỏ do trong đó có chứa malware Moyv.

Chúc các bạn thành công!