Οι hackers του Shade ransomware αποφάσισαν να σταματήσουν τις επιχειρήσεις τους και δημοσίευσαν πάνω από 750.000 κλειδιά αποκρυπτογράφησης που μπορούν να χρησιμοποιήσουν τα θύματα για να ανακτήσουν τα αρχεία τους.
Οι ερευνητές ασφαλείας από τη Kaspersky Lab επιβεβαίωσαν την εγκυρότητα των κλειδιών που διέρρευσαν και τώρα εργάζονται για τη δημιουργία ενός δωρεάν εργαλείου αποκρυπτογράφησης.
Η Shade συμμορία δημοσίευσε ένα μικρό μήνυμα στο GitHub, στο οποίο εξηγεί την απόφασή της.
“Είμαστε η ομάδα που δημιούργησε ένα trojan-encryptor γνωστό ως Shade, Troldesh ή Encoder.858. Στην πραγματικότητα, σταματήσαμε τη διανομή του στα τέλη του 2019. Τώρα πήραμε την απόφαση να βάλουμε μια τελεία σε αυτήν την ιστορία και να δημοσιεύσουμε όλα τα κλειδιά αποκρυπτογράφησης που έχουμε (πάνω από 750 χιλιάδες). Ελπίζουμε ότι, έχοντας τα κλειδιά, οι εταιρείες προστασίας από ιούς θα εκδώσουν τα δικά τους, πιο φιλικά προς το χρήστη, εργαλεία αποκρυπτογράφησης. Όλα τα άλλα δεδομένα που σχετίζονται με τη δραστηριότητά μας (συμπεριλαμβανομένων των source codes του trojan) καταστράφηκαν. Ζητάμε συγνώμη από όλα τα θύματα και ελπίζουμε ότι τα κλειδιά που δημοσιεύσαμε θα τους βοηθήσουν να ανακτήσουν τα δεδομένα τους”.
Παρόλο που οι hackers του Shade ransomware εξήγησαν το λόγο που δημοσίευσαν τα κλειδιά αποκρυπτογράφησης, δεν εξήγησαν το λόγο για τον οποίο σταμάτησαν τις δραστηριότητές τους. Αρκετές θεωρίες έχουν αρχίσει να σχηματίζονται μεταξύ των εμπειρογνωμόνων ransomware, αλλά κανείς δεν μπορεί να είναι σίγουρος.
Πριν να «κλείσει», στα τέλη του 2019, το Shade ransomware αποτελούσε ένα από τα παλαιότερα ransomware, που εντοπίστηκε για πρώτη φορά το 2014 και λειτουργούσε σχεδόν χωρίς διακοπή μέχρι πριν λίγους μήνες.
Οι hackers το διένειμαν κάνοντας συνδυασμό email spam εκστρατειών και exploit kits.
Το ransomware δεν ήταν τέλειο, ωστόσο. Οι ερευνητές ασφαλείας από την Kaspersky και την Intel Security (τώρα McAfee) είχαν καταφέρει να κυκλοφορήσουν πολλές εφαρμογές αποκρυπτογράφησης που θα μπορούσαν να βοηθήσουν τα θύματα να ανακτήσουν τα αρχεία τους. Από την άλλη μεριά, τα εργαλεία αποκρυπτογράφησης λειτουργούσαν μόνο για ένα μικρό αριθμό εκδόσεων του Shade και το τελευταίο από αυτά κυκλοφόρησε το 2017.
Τα κλειδιά αποκρυπτογράφησης δημοσιεύτηκαν χθες και θα βοηθήσουν όλα τα θύματα του Shade (Troldesh) ransomware. Πιστεύεται ότι τα κλειδιά θα είναι αποτελεσματικά για όλες τις εκδόσεις του ransomware και για όλους τους χρήστες που μολύνθηκαν.
Η μόνη προϋπόθεση είναι ότι οι χρήστες εξακολουθούν να έχουν αποθηκευμένα τα κρυπτογραφημένα αρχεία, ώστε να μπορούν να αποκρυπτογραφηθούν.
Οι ειδικοί ασφαλείας συχνά συνιστούν την αποθήκευση των κρυπτογραφημένων αρχείων σε έναν offline σκληρό δίσκο. Ωστόσο, τα περισσότερα θύματα κάνουν ολική επαναφορά στα συστήματά τους, διαγράφοντας τα κρυπτογραφημένα δεδομένα. Όσοι έχουν αποθηκεύσει τα κρυπτογραφημένα αρχεία τους μπορούν τώρα να τα ανακτήσουν.