Gisteren schreven we over het wel en wee van de open source ransomware en z'n varianten en de ellende die daarbij kwam kijken. Het zag er naar uit dat slachtoffers van de RANSOM_CRYPTEAR.B-malware hun data kwijt waren, maar dankzij een achterdeur in Hidden Tear (waar Cryptear op is gebaseerd) konden de bestanden van de gedupeerden toch nog worden gered.

Voor de slachtoffers van de Magic ransomware lag dat echter anders. Deze ransomware was gebaseerd op de open source EDA2-malware en bevatte van zichzelf geen backdoors. Er was wel een mogelijkheid ingebouwd in het control-script om de gegenereerde sleutels terug te halen. Deze sleutels werden echter op een server geplaatst van een free hosting-partij. Deze partij sloot de accounts van de malafide gebruiker wegens het schenden van de voorwaarden waardoor alle sleutels verloren gingen en de kans dat slachtoffers hun data terug konden krijgen zeer klein was.

Wroeging

Het bleek dat de maker van de Magic ransomware een deel van de sleutels heeft kunnen redden voordat de site uit de lucht werd gehaald. Daarnaast lijkt het erop dat de cybercrimineel wroeging kreeg. De bouwer ontving een e-mail van een slachtoffer die alle foto's van z'n pasgeboren zoon kwijt was geraakt door de ransomware. De crimineel was hier zo van onder de indruk dat hij de sleutel van het slachtoffer gratis vrijgaf.

De Magic ransomware-bouwer ging nog een stap verder en besloot alle sleutels gratis vrij te geven. Maar alleen als Utku Sen, bouwer van de open source ransomware, hem 3 bitcoin (ongeveer 1100 euro) geeft en de broncode voor Hidden Tear verwijdert van het internet.

Politiek spelletje

Na een korte discussie op het Bleeping Computer-forum gaf de bouwer aan alleen genoegen te nemen met het verwijderen van Hidden Tear. Ook hier ging Sen niet mee akkoord. De redenen die de bouwer (bekend op het forum als jeanclaudevandan) gaf waren te vaag.

De beveiligingsonderzoeker geeft verder aan dat uit de reacties en de code van "jeanclaudevandan" blijkt dat dit meer een politiek spelletje (Rusland/Putin vs Turkije/Erdogan) is dan dat het echt iets te maken heeft met de ransomware en houdt z'n poot stijf.

Het aanbod van de Magic ransomware-bouwers staat nog steeds. Slachtoffers kunnen een mail sturen en krijgen gratis de sleutel opgestuurd, maar alleen als Sen toegeeft. Het is nog maar de vraag of dat gaat gebeuren, de discussie is nog steeds aan de gang en we zullen zien of dit staartje nog langer wordt.