Operadores do Shade ransomware abandonam o projeto e libertam 750 mil chaves privadas de incidentes ocorridos.

Os operadores por trás do Shade Ransomware (Troldesh) encerraram as suas operações, e lançaram mais de 750.000 chaves de de decifra no GitHub pedindo desculpas pelos danos que causaram às vítimas.

O Shade ransomware está em operação desde 2014. Este ransomware tem como alvo principal vítimas da Rússia e Ucrânia, ao contrário de muitas outras famílias de ransomware.

De acordo com Michael Gillespie, criador do site  ID Ransomware, o envio de IOCs relacionados ao Shade Ransomware tem sido constante ao longo dos anos até final de 2019, quando começou a diminuir.

 

A causa dos envios decrescentes foi revelada neste fim de semana quando os operadores do Shade Ransomware criaram um repositório GitHub e declararam que pararam de distribuir o ransomware no final de 2019.

Como parte desta declaração, os operadores de ransomware pedem desculpas pelas suas ações e fornecem instruções sobre como recuperar ficheiros utilizando as chaves agora libertadas e disponíveis no GitHub.

“We are the team which created a trojan-encryptor mostly known as Shade, Troldesh or Encoder.858. In fact, we stopped its distribution in the end of 2019. Now we made a decision to put the last point in this story and to publish all the decryption keys we have (over 750 thousands at all). We are also publishing our decryption soft; we also hope that, having the keys, antivirus companies will issue their own more user-friendly decryption tools. All other data related to our activity (including the source codes of the trojan) was irrevocably destroyed. We apologize to all the victims of the trojan and hope that the keys we published will help them to recover their data,” the GitHub post states.

 

Estão incluídas no repositório cinco chaves principais de decifra, mais de 750 mil chaves de ataques a vítimas individuais, instruções sobre como usá-las e um link para o programa para decifrar os ficheiros comprometidos.

A Shade master decryption key

 

Infelizmente, o uso do programa não é muito amistoso e as vítimas podem ter problemas para usá-lo corretamente.

Sergey Golovanov, da Kaspersky Lab, disse ao BleepingComputer que ele foi capaz de confirmar que as chaves são válidas e foi capaz de usá-las para decifrar uma máquina de teste.

Golovanov also said that Kaspersky will be updating its RakhniDecryptor ransomware decryption tool to include these keys and make it easier for victims to recover their files for free.