Операторы вымогателя Shade прекратили деятельность
28/04/20
Операторы вымогательского ПО Shade/Troldesh/Encoder.858 прекратили свою деятельность и опубликовали ключи для расшифровки файлов. Кроме того, они выразили надежду, что ИБ-компании выпустят более удобные для широкого круга пользователей декрипторы. Причины, по которым кибервымогатели решили свернуть свою деятельность, остаются неизвестными.
По словам операторов Shade, де-факто они прекратили свою деятельность еще в прошлом году, а теперь решили выложить в открытый доступ все имеющиеся у них ключи для расшифровки файлов, которых насчитывается более 750 тыс. Специалисты «Лаборатории Касперского» подтвердили подлинность опубликованных ключей и сейчас работают над созданием бесплатного инструмента для восстановления зашифрованных вымогателем файлов.
Ресурсы, на которых выложены ключи и инструкции на русском и английском языках:
https://yadi.sk/d/36uVFJ6bUBrdpQ (все ключи по отдельности, все ключи в архиве, софт);
https://cloud.mail.ru/public/5gy6/4UMfYqAp4 (все ключи по отдельности, все ключи в архиве, софт);
https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat (все ключи в архиве, софт);
https://github.com/shade-team/keys (все ключи по отдельности);
https://github.com/shade-binary/bin (софт).
Остальные связанные с Shade данные (в том числе его исходный код) были безвозвратно удалены, уверяют операторы. «Мы приносим свои извинения жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные», – пишут авторы Shade.
До завершения операций в 2019 году Shade был одним из старейших семейств вымогательского ПО – начало его активности приходится на 2014 год, и с тех пор он работал практически в режиме «нон-стоп». Вымогатель распространялся как через спам, так и с помощью наборов эксплоитов. Вендоры решений безопасности периодически находили уязвимости в шифровании Shade и выпускали декрипторы, однако они работали только в отношении ограниченного числа версий вредоноса. Последний декриптор был выпущен в 2017 году.