Shade(Troldesh)勒索宣布停运并放出75万个解密密钥

发布时间 2020-04-30

0x00 事件背景


勒索软件Shade背后组织于周末宣布收手,并在GitHub上发布了超过75万个解密密钥。




卡巴斯基实验室的安全研究人员已经证实了解密密钥的有效性,并且正在致力于创建免费的解密工具。

在GitHub存储库中发布的短消息中(https://github.com/shade-team/keys),Shade团队解释了导致他们做出决定的原因。

“我们是一个团队,开发了一个木马加密程序,通常被称为Shade,Troldesh或Encoder.858。实际上,我们已在2019年底停止分发。现在,我们决定为此事画上句号,并发布我们拥有的所有解密密钥(总共超过750,000个)。我们还将发布解密软件。我们还希望,有了密钥,防病毒公司将能开发并发布更加用户友好的解密工具。与我们的活动有关的所有其他数据(包括特洛伊木马的源代码)均被不可撤消地销毁。我们向所有特洛伊木马受害者致歉,并希望我们发布的密钥能够帮助他们恢复数据。”

经验证,这次发布的解密密钥可以为所有被勒索软件Shade加密的文件解密。


0x01 Shade简介


Shade自2014年以来一直活跃,当时在俄罗斯发现了大规模的感染。Shade感染在2018年10月期间有所增加,一直持续到2018年12月下半月,在圣诞节期间休息,然后在2019年1月中旬恢复增加一倍。2019年5月研究人员又发现了新一波Shade勒索软件攻击,包括美国和日本。受Shade勒索软件影响的前五个国家是美国,日本,印度,泰国和加拿大,主要针对高科技、批发和教育行业。

Shade感染目标是运行 Microsoft Windows 的主机。通常通过垃圾邮件(特别是恶意电子邮件附件)传播。附件通常是zip文件,收件人解压缩附件并双击该文件,勒索软件开始运行。其中提取的zip内容是一个Javascript脚本,用来下载恶意payload(勒索软件),该payload通常托管在CMS站点上。

一旦系统受到感染,恶意代码就会设置桌面背景来宣布感染,并且将名为README1.txt到README10.txt的Desktop 10个文本文件放在桌面上,在README.txt文件中就包含有关通过电子邮件地址与黑客联系的指示,以便沟通赎金事宜。



Shade加密方式是将文件在CBC模式下使用AES 256加密。对于每个加密文件,将生成两个随机的256位AES密钥:一个用于加密文件的内容,另一个用于加密文件名。


0x02 解密秘钥


解密秘钥下载:https://github.com/shade-team/keys

下载镜像:

 https://yadi.sk/d/36uVFJ6bUBrdpQ (所有密钥分开;zip中的所有密钥;软件)

 https://cloud.mail.ru/public/5gy6/4UMfYqAp4 (所有密钥分开;zip中的所有密钥;软件)

 https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat(zip中的 所有密钥;软件)

 https://github.com/shade-team/keys (所有密钥分开)

 https://github.com/shade-binary/bin (软件)


0x03 解密说明


注意:某些防病毒软件会检测到某些已发布的软件,因为它与加密器一起使用了常见的代码块。为避免删除它们,所有exe文件均使用相同的密码压缩:123454321

如果您的加密文件具有以下扩展名之一,则在后续步骤中,您将需要“keys”文件夹中的“main”子文件夹:

 xtbl

 ytbl

 breaking_bad

 Heisenberg

 better_call_saul

 los_pollos

 da_vinci_code

 magic_software_syndicate

 windows10

 windows8

 no_more_ransom

 Tyson

 crypted000007

 crypted000078

 rsa3072

 decrypt_it

如果您的加密文件具有以下扩展名之一,则在后续步骤中,您将需要“keys”文件夹中的“alt”子文件夹:

 dexter

 miami_california

所需的子文件夹在下面表示为。“master”子文件夹适用于某些防病毒公司,他们已经被告知要使用该文件夹。

1. 强烈建议关闭计算机上的所有程序(包括杀毒软件),并避免在解密过程中执行任何其他操作。如果您拥有计算机的ID,请转到第2段。否则,请转到第3段。此ID是一个20个符号的字符串,包含大写字母和数字(例如AABBCCDDEEFF00112233),并保存在台式机和README.txt文件中。所有磁盘的根文件夹。在更高版本的加密软件中,文件名之后也添加了ID。

2. 如果README.txt文件中的代码在竖线后包含零(例如AABBCCDDEEFF00112233|0),请继续执行第2.1段。如果README.txt文件中的代码包含三个竖线(例如AABBCCDDEEFF00112233|765|8|1),请继续执行第2.2段。

2.1 进入/keys//dynamic//文件夹,其中是代码的第一个符号(在我们的示例中为A)。/keys/alt/dynamic/文件夹将所有文件都包含在内,而无需按代码的首字母进行划分。找到名称包含您的ID的.txt文件并下载(如果有多个这样的文件,请下载所有文件,然后对每个文件重复整个解密过程)。您可以使用网页上的搜索(浏览器中的Ctrl + F组合键)来加快搜索过程。如果找到文件,请继续执行第4段。

2.2 进入/keys//static/文件夹,然后找到名称为代码第一个竖线后的数字的文件(在我们的示例中为765)。下载它并继续执行第4段。

3. 下载并执行/bin/getid.exe程序。它会显示您的ID,然后您应该转到它的第2段。如果这样做没有帮助,请尝试执行3.1段落中的说明。

3.1 在计算机上创建一个文件夹,其路径仅包含英文字母或数字。下载文件/bin/decrypt_bruteforce.exe,将其保存到此文件夹并在其中创建文件夹“keys”。然后从/keys//static/文件夹下载所有文件,并将它们放在“keys”文件夹中。取出任何加密文件,并将其放入c:\1\文件夹。运行crypto_bruteforce.exe并等待结束。如果找到密钥,则其文件名将显示在窗口中。取得密钥文件并继续执行第4段。

4. 在计算机上创建一个文件夹,该文件夹的路径仅包含英文字母或数字。下载/bin/decrypt.exe文件并将其保存到此文件夹。您也可以改用/bin/decrypt_nolog.exe程序。然后使用上一步中获得的密钥获取文件,并将其放置在该目录中,并带有“key.txt”名称(或者,如果系统不显示文件扩展名,则只是“key”)。如果加密文件位于您的计算机上,则只需运行crypto.exe。如果加密文件位于外部驱动器上,然后将其连接,请按Start->Execute->cmd.exe,然后按Enter。在打开的窗口中键入以下命令,然后按Enter:cd c:\decrypt\&&crypto.exe其中,是您连接的设备的根目录(例如S:)。等到解密过程结束。如果您在带有解密器的文件夹中找到名称为RENAME.txt的文件,则下载/bin/rename.exe,将其放入此文件夹中,运行它并等待结束。


0x04 参考链接


https://github.com/shade-team/keys

https://securityaffairs.co/wordpress/102384/cyber-crime/shade-ransomware-shut-down.html