La pandilla de ransomware Shade ha publicado más de 750,000 claves de descifrado en GitHub. Kaspersky está trabajando en una aplicación de descifrado.
Los operadores del ransomware Shade (Troldesh) cerraron durante el fin de semana y, como señal de buena voluntad, lanzaron más de 750,000 claves de descifrado que las víctimas anteriores ahora pueden usar para descifrar sus archivos.
Los investigadores de seguridad de Kaspersky Lab han confirmado la validez de las claves filtradas y ahora están trabajando en la creación de una herramienta de descifrado gratuita.
En un breve mensaje publicado en un repositorio de GitHub , el equipo de Shade explicó lo que llevó a su decisión.
Somos el equipo que creó un encriptador de troyanos conocido principalmente como Shade, Troldesh o Encoder.858. De hecho, detuvimos su distribución a fines de 2019. Ahora tomamos la decisión de poner el último punto en esta historia y publicar todas las claves de descifrado que tenemos (más de 750 mil). También estamos publicando nuestro descifrado suave; También esperamos que, teniendo las claves, las compañías de antivirus emitan sus propias herramientas de descifrado más fáciles de usar. Todos los demás datos relacionados con nuestra actividad (incluidos los códigos fuente del troyano) se destruyeron irrevocablemente. Pedimos disculpas a todas las víctimas del troyano y esperamos que las claves que publicamos les ayuden a recuperar sus datos.
Si bien la pandilla Shade explicó por qué lanzaron las claves de descifrado, no explicaron por qué cerraron. Se han comenzado a formar varias teorías entre los expertos en ransomware, pero ninguna se basa en la inteligencia real de amenazas tangibles.
Antes de apagarse a fines de 2019, el ransomware Shade ha sido una de las cepas de ransomware más antiguas, se detectó por primera vez en 2014 y funciona casi sin parar hasta que se cerró el año pasado.
También fue una de las operaciones de ransomware más activas [1, 2], distribuida a través de una combinación de campañas de correo electrónico no deseado y kits de explotación.
Sin embargo, el ransomware no era perfecto, y durante su vida útil, los investigadores de seguridad de Kaspersky e Intel Security (ahora McAfee) han lanzado múltiples aplicaciones de descifrado que podrían ayudar a las víctimas a recuperar archivos. Sin embargo, los descifradores solo funcionaron contra un pequeño número de versiones de Shade, y la última de estas herramientas se lanzó en 2017.
Las claves de descifrado lanzadas hoy ayudarán a todos los usuarios que tenían archivos cifrados por el ransomware Shade. Se cree que las claves representan todas las versiones del ransomware y todos los usuarios que alguna vez se infectaron.
La única condición es que los usuarios todavía tengan los archivos cifrados por ahí, para que puedan ser descifrados.
Si bien los expertos en seguridad a menudo recomiendan guardar archivos cifrados con ransomware en un disco duro fuera de línea, la mayoría de las víctimas simplemente reinstalan su computadora desde cero, eliminando los datos cifrados. Aquellos que guardaron sus archivos cifrados ahora pueden recuperar datos que alguna vez consideraron perdidos.
Actualizaremos este artículo una vez que el equipo de Kaspersky publique la herramienta de descifrado Shade actualizada.
