Μέσα στο Σαββατοκύριακο, ο ερευνητής ασφαλείας M. Shahpasandi ανέφερε στο BleepingComputer πως ο χειριστής του Ziggy ransomware ανακοίνωσε στο Telegram ότι τερματίζει την “επιχείρησή” του και μοιράζει τα κλειδιά αποκρυπτογράφησης στα θύματά του. Σε συνέντευξή του στο BleepingComputer, ο χειριστής του ransomware είπε ότι δημιούργησε το ransomware για να βγάλει χρήματα καθώς ζει σε μια “τριτοκοσμική χώρα”.
Επειδή αισθανόταν ένοχος για τις πράξεις του αλλά και επειδή ανησυχούσε ότι θα συλληφθεί, ύστερα από τις πρόσφατες επιχειρήσεις των αστυνομικών εναντίον των Emotet και Netwalker ransomware, ο χειριστής αποφάσισε να τερματίσει την επιχείρησή του και να μοιράσει όλα τα κλειδιά.
Στις 7 Φεβρουαρίου, ο χειριστής του Ziggy ransomware δημοσίευσε ένα αρχείο SQL που περιέχει 922 κλειδιά αποκρυπτογράφησης για τα θύματα. Για κάθε θύμα, το αρχείο SQL απαριθμεί τρία κλειδιά που απαιτούνται για την αποκρυπτογράφηση των κρυπτογραφημένων αρχείων του.
Ο χειριστής του ransomware δημοσίευσε επίσης έναν αποκρυπτογράφο που μπορούν να χρησιμοποιήσουν τα θύματα με τα κλειδιά που αναφέρονται στο αρχείο SQL. Εκτός από τον αποκρυπτογράφο και το αρχείο SQL, ο χειριστής του Ziggy ransomware κοινοποίησε και τον πηγαίο κώδικα για έναν διαφορετικό αποκρυπτογράφο που περιέχει κλειδιά offline αποκρυπτογράφησης.
Οι μολύνσεις του ransomware χρησιμοποιούν offline κλειδιά αποκρυπτογράφησης για την αποκρυπτογράφηση θυμάτων που έχουν μολυνθεί ενώ δεν είναι συνδεδεμένοι στο Διαδίκτυο ή για περιπτώσεις όπου δεν ήταν δυνατή η πρόσβαση στον C2 server.
Επιπλέον, ο χειριστής του ransomware μοιράστηκε αυτά τα αρχεία με τον εμπειρογνώμονα ransomware Michael Gillespie, ο οποίος δήλωσε στο BleepingComputer ότι η Emsisoft θα κυκλοφορήσει σύντομα έναν αποκρυπτογράφο.
Ο Brett Callow της Emsisoft επεσήμανε στο BleepingComputer τα ακόλουθα: «Η κυκλοφορία των κλειδιών, είτε εθελοντικά είτε ακούσια, είναι το καλύτερο δυνατό αποτέλεσμα. Με αυτόν τον τρόπο τα θύματα μπορούν να ανακτήσουν τα δεδομένα τους χωρίς να χρειαστεί να πληρώσουν λύτρα ή να χρησιμοποιήσουν τον αποκρυπτογράφο του dev, το οποίο θα μπορούσε να περιέχει backdoor ή / και σφάλματα. Και, φυσικά, αυτό σημαίνει επίσης ότι υπάρχει μια ransomware ομάδα λιγότερη για την οποία θα πρέπει να ανησυχούν. Η πρόσφατη σύλληψη ατόμων που σχετίζονται με τη λειτουργία των Emotet και Netwalker θα μπορούσε να οδηγήσει κι άλλους κακόβουλους παράγοντες να τερματίσουν τις επιχειρήσεις τους. Έτσι, ενδέχεται να δούμε περισσότερες ομάδες να σταματούν να λειτουργούν και να παραδίδουν τα κλειδιά τους.»
Την προηγούμενη εβδομάδα, σταμάτησε και η επιχείρηση του Fonix ransomware ενώ κυκλοφόρησαν κλειδιά και αποκρυπτογράφος για τα θύματα. Αξίζει να σημειωθεί ότι ο χειριστής του Ziggy ανέφερε στο BleepingComputer πως «είναι φίλοι» με την ομάδα Fonix ransomware, ενώ προέρχονται επίσης από την ίδια χώρα.
