Gestern Abend hat ein Forumskonto, das behauptete, der Malware-Entwickler der Ransomware-Gruppen Maze, Egregor und Sekhmet zu sein, die Entschlüsselungsschlüssel für die Malware aller dieser Banden veröffentlicht.
Außerdem wurde der Quellcode der M0yv-Malware veröffentlicht. Der Entwickler sagt, dass es sich um ein geplantes Leck handelt, und bestätigt, dass die Teammitglieder dieser drei Ransomware-Banden nie wieder in dieses Geschäft zurückkehren werden. Die von ihnen geteilten Entschlüsselungsschlüssel funktionieren nachweislich.
Kostenlose Ransomware-Entschlüsselungsschlüssel
Es ist üblich, dass Ransomware-Gruppen die Master-Entschlüsselungsschlüssel ihrer Verschlüsselungs-Malware nach der Schließung ihres Unternehmens veröffentlichen. Aber diese während der aktiven Arbeit öffentlich zu machen, ist seltsam. Und genau das hat der Entwickler von Maze, Egregor und Sekhmet in den BleepingComputer-Foren gerade getan.
Letzte Nacht, Ein Konto mit dem Namen „“, das behauptet, der Malware-Entwickler der Ransomware-Gruppen Maze, Egregor und Sekhmet zu sein, hat die Hauptentschlüsselungsschlüssel aller dieser Gruppen weitergegeben. Er erklärte, dass es sich um ein geplantes Leck handele und nicht auf die jüngsten Festnahmen durch die Polizei auf der ganzen Welt zurückzuführen sei (1,2,3).
Darüber hinaus versicherte er, dass kein Mitglied der oben genannten Ransomware-Gruppen jemals wieder in dieses Geschäft zurückkehren werde, und er habe den Quellcode aller Gruppen vernichtet. Der von ihm angegebene Download-Link öffnet sich als 7zip-Datei, die die folgenden vier Archive enthält:
- Maze: 9 Master-Entschlüsselungsschlüssel für die ursprüngliche Schadsoftware, die auf private Benutzer abzielte, und Maze: 30 Master-Entschlüsselungsschlüssel.
- Egregor: 19 Hauptentschlüsselungsschlüssel.
- Sachmet: 1 Hauptentschlüsselungsschlüssel.
- M0yv: Quellcode
Michael Gillespie und Fabian Wosar von Emsisoft haben mit BleepingComputer überprüft, dass diese Schlüssel funktionieren. Während die Decrypter aller drei Ransomware-Gangs zu beachten sind, enthält der Dump auch einen Quellcode für M0yv, den der Entwickler wie folgt angab:
