0
0
O Shade Ransomware está em operação desde 2014. Diferentemente de outras famílias de ransomware que evitam especificamente a criptografia de vítimas na Rússia e em outros países da CEI – Armênia, Azerbaijão, Bielorrússia, Cazaquistão, Moldávia, Quirguistão, Rússia, Tajiquistão, Turcomenistão, Ucrânia e Uzbequistão – o Shade tem como alvo principalmente pessoas na Rússia e na Ucrânia.
De acordo com Michael Gillespie, criador do site de identificação de ransomware ID Ransomware, o envio relacionado ao Shade Ransomware tem sido constante ao longo dos anos até o final de 2019, quando começou a diminuir.
Envio de ID Ransomware
A causa dos envios decrescentes foi revelada neste fim de semana quando os operadores do Shade Ransomware criaram um repositório GitHub e declararam que pararam de distribuir o ransomware no final de 2019.
Como parte desta declaração, os operadores de ransomware pedem desculpas por suas ações e fornecem instruções sobre como recuperar arquivos usando as chaves liberadas.
“Somos a equipe que criou um trojan-encryptor conhecido principalmente como Shade, Troldesh ou Encoder.858. De fato, paramos sua distribuição no final de 2019. Agora, decidimos colocar o último ponto nesta história e publicamos todas as chaves de descriptografia que temos (mais de 750 mil no total) .Estamos também publicando nosso software de descriptografia; também esperamos que, com as chaves, as empresas de antivírus publiquem suas próprias ferramentas de descriptografia mais amigáveis. Nossa atividade (incluindo os códigos-fonte do Trojan) foi irrevogavelmente destruída. Pedimos desculpas a todas as vítimas do Trojan e esperamos que as chaves que publicamos os ajudem a recuperar seus dados “, afirma o post do GitHub.
Estão incluídas no repositório cinco chaves principais de descriptografia, mais de 750 mil chaves de descriptografia de vítimas individuais, instruções sobre como usá-las e um link para o programa de descriptografia.
Uma chave de descriptografia mestre do Shade
Infelizmente, o uso do decodificador não é muito direto e as vítimas podem ter problemas para fazê-lo funcionar corretamente.
Sergey Golovanov, da Kaspersky Lab, disse ao BleepingComputer que ele foi capaz de confirmar que as chaves são válidas e foi capaz de usá-las para descriptografar uma máquina de teste.
Golovanov também disse que a Kaspersky atualizará sua ferramenta de descriptografia RakhniDecryptor ransomware para incluir essas chaves e facilitar as vítimas a recuperar seus arquivos gratuitamente.
Ainda não há uma linha do tempo sobre quando a ferramenta de descriptografia será atualizada.
FONTE: CRYPTO ID