26 апреля неизвестные выложили на Github обращение от команды создателей Ransomware, известного как Troldesh/Shade, в котором объявили о прекращении своей работы с конца 2019 года. Вместе с этим были опубликованы закрытые ключи, необходимые для дешифрования систем, пострадавших от данного вредоносного ПО. «Мы приносим извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные», — говорится в сообщении группировки.
Шифровальщик Troldesh/Shade известен специалистам в области информационной безопасности с 2015 года, при этом пик его активности пришелся на 2019 год. Ранее мы уже писали об этом:
www.rbc.ru/technology_and_media/02/03/2019/5c7938b39a794723387f3e8e
habr.com/ru/company/solarsecurity/blog/469235
Стоит отметить, что мы в JSOC CERT действительно не фиксировали рассылок шифровальщика Troldesh/Shade с ноября 2019 года. Достоверность выложенных ключей шифрования была нами проверена на нескольких образцах, рассылавшихся в течение 2019 года. Ключи рабочие.
Оригинал сообщения:
Шифровальщик Troldesh/Shade известен специалистам в области информационной безопасности с 2015 года, при этом пик его активности пришелся на 2019 год. Ранее мы уже писали об этом:
www.rbc.ru/technology_and_media/02/03/2019/5c7938b39a794723387f3e8e
habr.com/ru/company/solarsecurity/blog/469235
Стоит отметить, что мы в JSOC CERT действительно не фиксировали рассылок шифровальщика Troldesh/Shade с ноября 2019 года. Достоверность выложенных ключей шифрования была нами проверена на нескольких образцах, рассылавшихся в течение 2019 года. Ключи рабочие.
Оригинал сообщения:
Мы — команда, которая создала троян-шифровальщик, в основном известный как Shade, Troldesh или Encoder.858. Фактически мы прекратили его распространение в конце 2019 года. Теперь мы приняли решение поставить последнюю точку в этой истории и опубликовать все имеющиеся у нас ключи дешифрования (всего более 750 тысяч). Мы также публикуем нашу программу для расшифровки. Надеемся, что, имея ключи, антивирусные компании выпустят свои собственные более удобные инструменты дешифрования. Все остальные данные, связанные с нашей деятельностью (включая исходные коды трояна) были безвозвратно уничтожены. Мы приносим извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные.
Зеркала для скачивания:
yadi.sk/d/36uVFJ6bUBrdpQ (все ключи отдельно; все ключи в zip; ПО для расшифровки)
cloud.mail.ru/public/5gy6/4UMfYqAp4 (все ключи отдельно; все ключи в zip; ПО для расшифровки)
drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat (все ключи в zip; ПО для расшифровки)
github.com/shade-team/keys (все ключи отдельно)
github.com/shade-binary/bin (ПО для расшифровки)
Инструкция по расшифровке
Примечание. Некоторые из опубликованных программ обнаруживаются некоторыми антивирусами, поскольку они используют общие блоки кода с шифратором. Чтобы избежать их удаления, все исполняемые файлы были заархивированы с одинаковым паролем: 123454321
Если ваши зашифрованные файлы имеют одно из следующих расширений, вам понадобится подпапка «main» из папки «keys» во время следующих действий:
- xtbl
- ytbl
- breaking_bad
- heisenberg
- better_call_saul
- los_pollos
- da_vinci_code
- magic_software_syndicate
- windows10
- windows8
- no_more_ransom
- tyson
- crypted000007
- crypted000078
- rsa3072
- decrypt_it
Если ваши зашифрованные файлы имеют одно из следующих расширений, вам понадобится подпапка «alt» из папки «keys» во время следующих действий:
- dexter
- miami_california
Подпапка, которая вам нужна, обозначается далее как . Подпапка «master» предназначена для некоторых антивирусных компаний, они уже проинструктированы об этом.
0. Настоятельно рекомендуется закрыть все программы (включая антивирусные) на вашем компьютере и избегать выполнения каких-либо других действий в процессе расшифровки. Если у вас есть идентификатор вашего компьютера, перейдите к пункту 1. В противном случае перейдите к пункту 2. Этот идентификатор представляет собой строку из 20 символов, содержащую буквы и цифры в верхнем регистре (например, AABBCCDDEEFF00112233), и был сохранен в файлах README.txt на рабочем столе и в корневые папки всех дисков. Идентификатор был также добавлен после имени файла в последних версиях программного обеспечения для шифрования.
1. Если код из файла README.txt содержит ноль после вертикальной черты (например, AABBCCDDEEFF00112233 | 0), перейдите к пункту 1.1. Если код из файла README.txt содержит три вертикальные полосы (например, AABBCCDDEEFF00112233 | 765 | 8 | 1), перейдите к пункту 1.2.
1.1 Введите / keys / / dynamic / / folder, где является первым символом вашего кода (в нашем примере это A). Папка / keys / alt / dynamic / содержит все файлы без разделения по первым буквам кодов. Найдите файл .txt, имя которого содержит ваш идентификатор, и загрузите его (если существует более одного такого файла, загрузите их все и повторите процедуру расшифровки для каждого из них). Вы можете использовать поиск на веб-странице (комбинация Ctrl + F в вашем браузере), чтобы ускорить процесс поиска. Если файл (ы) был найден, перейдите к пункту 3.
1.2 Введите / keys / / static / folder и найдите файл, именем которого является номер после первой вертикальной черты вашего кода (765 в нашем примере). Загрузите его и перейдите к пункту 3.
2. Скачайте и запустите программу /bin/getid.exe. Она покажет вам идентификатор, затем вы должны перейти к пункту 1. Если это не поможет, попробуйте выполнить инструкции из пункта 2.1.
2.1 Создайте на своем компьютере папку, путь которой содержит только английские буквы или цифры (c: \ 1 \ в дальнейших инструкциях). Загрузите файл /bin/decrypt_bruteforce.exe, сохраните его в этой папке и создайте там папку «keys». Затем загрузите все файлы из папки / keys / / static / и поместите их в папку «keys». Возьмите любой из ваших зашифрованных файлов и поместите его в папку c: \ 1 \. Запустите decrypt_bruteforce.exe и дождитесь окончания его работы. Если ключ найден, его имя файла будет показано в окне. Возьмите файл ключей и перейдите к пункту 3.
3. Создайте на своем компьютере папку, путь к которой содержит только английские буквы или цифры (c: \ decrypt \ в дальнейших инструкциях). Загрузите файл /bin/decrypt.exe и сохраните его в этой папке. Вместо этого вы также можете использовать программу /bin/decrypt_nolog.exe (единственное отличие состоит в том, что она показывает менее подробную информацию о процессе расшифровки). Затем возьмите файл с ключом, который вы получили на предыдущих этапах, и поместите его в этот каталог с именем «key.txt» (или просто «ключ», если ваша система не отображает расширения файлов). Если зашифрованные файлы находятся на вашем компьютере, просто запустите decrypt.exe. Если зашифрованные файлы находятся на внешнем диске, подключите его, нажмите Пуск-> Выполнить -> (вход) cmd.exe и нажмите Enter. Введите в открывшемся окне следующую команду и нажмите Enter: cd c: \ decrypt \ && decrypt.exe <путь>, где <путь> — корневой каталог подключенного устройства (например, S :). Дождитесь окончания процесса расшифровки. Если вы найдете файл с именем RENAME.txt в папке с расшифровщиком, скачайте /bin/rename.exe, поместите его в эту папку, запустите и дождитесь окончания его работы.
Если у вас возникнут какие-либо трудности, советуем подождать, пока антивирусные компании выпустят более удобные утилиты для расшифровки. Или попросите бесплатную помощь на одном из тематических форумов.