ผู้กล่าวอ้างการพัฒนาของ Maze, Sekhmet และ Egregor ransomware ได้เผยแพร่คีย์หลักในการถอดรหัสหลักสำหรับ malicious operations ในฟอรัม BleepingComputer ในสัปดาห์นี้.
ผู้ใช้ชื่อ Topleak ซึ่งอ้างว่าเป็นผู้พัฒนาสำหรับปฏิบัติการแรนซัมแวร์ทั้งสาม ได้ปล่อยมาสเตอร์คีย์การถอดรหัส โดยบอกว่านี่เป็นการเปิดเผยตามแผนและไม่มีส่วนเกี่ยวข้องกับการจับกุมบริษัทในเครือแรนซัมแวร์และการยึดเซิร์ฟเวอร์ที่พวกเขาใช้.
“เนื่องจากมีการแจ้งเบาะแสมากเกินไป และส่วนใหญ่จะเป็นเท็จ จึงจำเป็นต้องเน้นย้ำว่าเป็นแผนในการแพร่งพราย และไม่มีส่วนเกี่ยวข้องกับการจับกุมและจับกุมเมื่อเร็วๆ นี้” ผู้เขียนโพสต์กล่าว
โพสต์ดังกล่าวยังระบุด้วยว่าไม่มีสมาชิกทีมคนใดกลับมาใช้แรนซัมแวร์ และทีมได้ทำลายซอร์สโค้ดทั้งหมดของ malicous projects นี้ โพสต์ในบล็อกมีลิงก์ดาวน์โหลดที่ชี้ไปยังไฟล์ 7z ซึ่งประกอบด้วยคีย์ถอดรหัส Maze, Sekhmet และ Egregor ที่เก็บไว้.
ที่ห้องเก็บเอกสารของคีย์เข้ารหัสแต่ละอันจะมีคีย์การเข้ารหัสหลักสาธารณะและคู่ถอดรหัสส่วนตัวที่เชื่อมโยงกับบริษัทในเครือของการดำเนินการแรนซัมแวร์.
จำนวนคีย์ถอดรหัสหลัก RSA-2048 ที่เผยแพร่ต่อการดำเนินการมีดังนี้:
- Maze: คีย์ถอดรหัสหลัก 30 คีย์พร้อมคีย์ถอดรหัสหลัก 9 คีย์สำหรับมัลแวร์เวอร์ชันเก่าที่กำหนดเป้าหมายผู้ใช้ที่ไม่ใช่องค์กร
- Sekhmet: 1 คีย์ถอดรหัสหลัก
- Egregor: 19 คีย์ถอดรหัสหลัก
นอกจากนี้ 7z file hosts ยังเก็บ 4 ไฟล์ถาวรซึ่งมีซอร์สโค้ดของ Malware M0yv ซึ่งเป็นเครื่องมือที่แก๊งแรนซัมแวร์ใช้เป็นส่วนหนึ่งของการดำเนินการ.
"แหล่งที่มาของ M0yv เป็นเหมือนโบนัส เนื่องจากไม่มีซอร์สโค้ดหลักใดๆ ของซอฟต์แวร์ที่พบมาหลายปีแล้ว ดังนั้นตอนนี้เราพบแล้ว" ผู้พัฒนากล่าวในโพสต์ในฟอรัม
M0yv เป็นไฟล์ที่มีไวรัสแบบแยกส่วน x86/x64 ที่นักพัฒนา Maze สร้างขึ้นและเคยใช้ในการโจมตีมาก่อน ซอร์สโค้ดที่เก็บถาวรที่รวมอยู่ในไฟล์ 7z มีอยู่ในโปรเจ็กต์ Microsoft Visual Studio และโฮสต์ไฟล์ DLL บางไฟล์ที่คอมไพล์แล้ว
