勒索软件Shade公布75万个解密密钥,对受害者有什么作用?

2020-05-06 17:25   203次浏览

4月28日消息,上周末,老牌勒索软件Shade(Troldesh)宣布停止“运营”,并表示为了“答谢新老客户”,在Github上“开源”了全部超过75万个解密密钥,所有曾经被Shade加密过数据的受害者都可以用这些密钥来解密其文件。卡巴斯基实验室的安全研究人员已经证实了解密密钥的有效性,并且正在致力于创建免费的解密工具。

在GitHub资料库的短消息中,Shade团队解释了他们“放下屠刀”的原因:(/shade-team/keys)

我们是一个团队,开发了一个木马加密程序,通常被称为Shade、Troldesh或Encoder.858。实际上,我们已在2019年底停止分发。现在,我们决定为此事画上句号,并发布我们拥有的所有解密密钥(总共超过750,000个)。我们还将发布解密软件,我们还希望,有了密钥,防病毒公司将能开发并发布更加用户友好的解密工具。与我们的活动有关的所有其他数据(包括特洛伊木马的源代码)均被不可撤销地销毁。我们向所有特洛伊木马受害者致歉,并希望我们发布的密钥能够帮助他们恢复数据。

虽然Shade团伙解释了为什么他们释放解密密钥,但并没有解释为什么金盆洗手、关门大吉。勒索软件专家对此各执一词,但都没有基于事实的威胁情报。

在2019年底关闭之前,Shade勒索软件是最古老的勒索软件品种之一,于2014年首次现身,直到去年关闭之前几乎不间断运行。

Shade也是最活跃的勒索软件之一,通过垃圾电子邮件活动和利用工具包的组合渠道分发。

不过,勒索软件并不完美,在其生命周期内,来自卡巴斯基和英特尔安全部门(现为McAfee)的安全研究人员发布了多个解密应用程序,可以帮助受害者恢复文件。但是,这些解密器仅适用于少数Shade版本,这些工具中的最后一个于2017年发布。

今天发布的解密密钥将为所有曾被Shade勒索软件加密文件的用户提供帮助。据信,这些密钥可用于所有版本的勒索软件以及曾经感染过的所有用户。

的前提是,用户依然保留了当初被加密的文件。

安全专家通常建议将勒索软件加密的文件保存在脱机硬盘上,但大多数受害者选择重新安装计算机,删除加密的数据。而那些保存了加密文件的人现在可以恢复一度丢失的数据。

自2014年开始传播的 Troldesh 勒索软件(亦被称为Shade或者Encoder.858)从2019年年底开始活跃度逐步下降。

多数勒索软件会将俄罗斯和乌克兰设置为白名单不感染该地区所有用户,但这款勒索软件恰恰是针对上述地区的。

负责维护该勒索软件反馈报告列表的研究人员称,自从去年年底开始该勒索软件活跃度逐步下降但没人知道原因。

现在谜底由 Troldesh 开发者亲自揭晓 , 该勒索软件背后的黑客团队发布声明称不再继续开发维护这款勒索软件。

停止开发并公布75万个解密密钥:

名为 ShadeTeam 的账号自称是这款勒索软件的开发运营团队, 目前该团队在 GitHub 平台发布75万个解密密钥。

同时该账号还在声明中向受害者表示歉意,受影响的用户都可以通过解密密钥来恢复此前被该软件加密的文件等。

这个黑客团队称希望安全软件开发商能够使用这些密钥开发解密工具,让受害者通过解密工具更方便的解密文件。

尽管这个黑客团队并未说明受害者具体有多少,不过从解密密钥上看保守估计这些年来受害者应该已经超过百万。

公布解密密钥其实并没有什么卵用:

如果你认为这个黑客团队良心发现那就是大错特错的,因为现在公布解密密钥对大多数受害者来说并没有什么用。

主要原因在于多数用户被勒索软件感染后要么选择支付赎金,要么就直接重装系统并将所有被加密的文件删除掉。

事实上选择后者也就是直接重装删除加密文件的用户属于大多数,相信没多少用户会长期时间保存被加密的文件。

因此除了近期遭到感染的用户估计还可以使用解密密钥外,多数受害者即便获得这些密钥也并不能恢复加密文件。

这款勒索软件自 2014 年开始就在网络上传播,百万级的受害者又有几个能真正用到公布的这些解密密钥呢?

卡巴斯基等正在开发解密工具:

尽管黑客已经提供简易的解密工具,但该工具使用难度非常大,主要是这款勒索软件并没有使用统一的解密密钥。

不过卡巴斯基已经确认这些密钥是有效的因此该公司正在开发便于用户操作的解密工具,具体发布时间暂时未知。

因此现阶段蓝点网只能提醒大家如果不慎遭到该勒索软件感染,那么暂时不要急于重装系统和删除被加密的文件。

待各大安全公司根据解密密钥开发出专用的解密工具后,直接使用这些解密工具进行解密比直接重装要省事的多。

免责声明:本文来自自媒体,不代表电子街的观点和立场
精彩推荐