Os hackers por trás do famoso ransomware Shade encerraram suas operações e lançaram mais de 750.000 chaves de descriptografia, juntamente com instruções para ajudar as vítimas a descriptografar seus dados.
O grupo, também conhecido como Troldesh ou Encoder.858, estava ativo desde 2014, visando principalmente usuários na Rússia e na Ucrânia. Em uma mensagem deixada em um repositório do Github, o grupo revelou que havia parado de alvejar vítimas desde o final de 2019, no entanto, não revelou os motivos do desligamento.
Os hackers publicaram as chaves de descriptografia junto com seu software de descriptografia, com o objetivo de que as empresas de antivírus possam criar ferramentas melhores para ajudar os usuários a descriptografar seus dados. A Kaspersky já verificou as chaves e anunciou que está criando uma ferramenta de descriptografia gratuita.
Shade ransomware
Além de pedir desculpas a todas as suas vítimas, o post no Github dos operadores do ransomware sugere que eles excluíram todos os códigos-fonte.
“Somos a equipe que criou um trojan-encryptor conhecido principalmente como Shade, Troldesh ou Encoder.858. De fato, paramos sua distribuição no final de 2019. Agora, decidimos colocar o último ponto nesta história e publicar todas as chaves de descriptografia que temos (mais de 750 mil no total) “, dizia o post
“Também estamos publicando nossa descriptografia em software; também esperamos que, com as chaves, as empresas de antivírus publiquem suas próprias ferramentas de descriptografia mais fáceis de usar. Todos os outros dados relacionados à nossa atividade (incluindo os códigos-fonte do cavalo de Tróia) foram irrevogavelmente destruídos. Pedimos desculpas a todas as vítimas do cavalo de Tróia e esperamos que as chaves que publicamos os ajudem a recuperar seus dados ”, acrescentou.
Especialistas sugerem que o Shade ransomware era uma das linhagens de ransomware mais antigas e mais ativas existentes. Embora os hackers usassem uma combinação de fraude por e-mail e kits de exploração para distribuí-lo, isso não era considerado perfeito, pois as ferramentas antivírus, incluindo Kaspersky e McAfee, conseguiram descriptografar alguns sistemas.
É provável que essas chaves sejam válidas para todas as versões do Shade ransomware e possam ser válidas para todos os usuários afetados. Embora os pesquisadores de segurança possam criar uma ferramenta fácil para descriptografar dados, pode haver muito poucos usuários que ainda armazenaram seus dados criptografados, pois as pessoas geralmente limpam os dispositivos infectados para instalar novos sistemas operacionais.
Saiba mais sobre isso em nosso setor especializado em segurança digital.