Shade(Troldesh)勒索宣布停运并放出75万个解密密钥
发布时间 2020-04-300x00 事件背景
勒索软件Shade背后组织于周末宣布收手,并在GitHub上发布了超过75万个解密密钥。
卡巴斯基实验室的安全研究人员已经证实了解密密钥的有效性,并且正在致力于创建免费的解密工具。
在GitHub存储库中发布的短消息中(https://github.com/shade-team/keys),Shade团队解释了导致他们做出决定的原因。
“我们是一个团队,开发了一个木马加密程序,通常被称为Shade,Troldesh或Encoder.858。实际上,我们已在2019年底停止分发。现在,我们决定为此事画上句号,并发布我们拥有的所有解密密钥(总共超过750,000个)。我们还将发布解密软件。我们还希望,有了密钥,防病毒公司将能开发并发布更加用户友好的解密工具。与我们的活动有关的所有其他数据(包括特洛伊木马的源代码)均被不可撤消地销毁。我们向所有特洛伊木马受害者致歉,并希望我们发布的密钥能够帮助他们恢复数据。”
经验证,这次发布的解密密钥可以为所有被勒索软件Shade加密的文件解密。
0x01 Shade简介
Shade自2014年以来一直活跃,当时在俄罗斯发现了大规模的感染。Shade感染在2018年10月期间有所增加,一直持续到2018年12月下半月,在圣诞节期间休息,然后在2019年1月中旬恢复增加一倍。2019年5月研究人员又发现了新一波Shade勒索软件攻击,包括美国和日本。受Shade勒索软件影响的前五个国家是美国,日本,印度,泰国和加拿大,主要针对高科技、批发和教育行业。
Shade感染目标是运行 Microsoft Windows 的主机。通常通过垃圾邮件(特别是恶意电子邮件附件)传播。附件通常是zip文件,收件人解压缩附件并双击该文件,勒索软件开始运行。其中提取的zip内容是一个Javascript脚本,用来下载恶意payload(勒索软件),该payload通常托管在CMS站点上。
一旦系统受到感染,恶意代码就会设置桌面背景来宣布感染,并且将名为README1.txt到README10.txt的Desktop 10个文本文件放在桌面上,在README.txt文件中就包含有关通过电子邮件地址与黑客联系的指示,以便沟通赎金事宜。
Shade加密方式是将文件在CBC模式下使用AES 256加密。对于每个加密文件,将生成两个随机的256位AES密钥:一个用于加密文件的内容,另一个用于加密文件名。
0x02 解密秘钥
解密秘钥下载:https://github.com/shade-team/keys
下载镜像:
https://yadi.sk/d/36uVFJ6bUBrdpQ (所有密钥分开;zip中的所有密钥;软件)
https://cloud.mail.ru/public/5gy6/4UMfYqAp4 (所有密钥分开;zip中的所有密钥;软件)
https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat(zip中的 所有密钥;软件)
https://github.com/shade-team/keys (所有密钥分开)
https://github.com/shade-binary/bin (软件)
0x03 解密说明
注意:某些防病毒软件会检测到某些已发布的软件,因为它与加密器一起使用了常见的代码块。为避免删除它们,所有exe文件均使用相同的密码压缩:123454321
如果您的加密文件具有以下扩展名之一,则在后续步骤中,您将需要“keys”文件夹中的“main”子文件夹:
xtbl
ytbl
breaking_bad
Heisenberg
better_call_saul
los_pollos
da_vinci_code
magic_software_syndicate
windows10
windows8
no_more_ransom
Tyson
crypted000007
crypted000078
rsa3072
decrypt_it
如果您的加密文件具有以下扩展名之一,则在后续步骤中,您将需要“keys”文件夹中的“alt”子文件夹:
dexter
miami_california
所需的子文件夹在下面表示为。“master”子文件夹适用于某些防病毒公司,他们已经被告知要使用该文件夹。
1. 强烈建议关闭计算机上的所有程序(包括杀毒软件),并避免在解密过程中执行任何其他操作。如果您拥有计算机的ID,请转到第2段。否则,请转到第3段。此ID是一个20个符号的字符串,包含大写字母和数字(例如AABBCCDDEEFF00112233),并保存在台式机和README.txt文件中。所有磁盘的根文件夹。在更高版本的加密软件中,文件名之后也添加了ID。
2. 如果README.txt文件中的代码在竖线后包含零(例如AABBCCDDEEFF00112233|0),请继续执行第2.1段。如果README.txt文件中的代码包含三个竖线(例如AABBCCDDEEFF00112233|765|8|1),请继续执行第2.2段。
2.1 进入/keys//dynamic/
2.2 进入/keys//static/文件夹,然后找到名称为代码第一个竖线后的数字的文件(在我们的示例中为765)。下载它并继续执行第4段。
3. 下载并执行/bin/getid.exe程序。它会显示您的ID,然后您应该转到它的第2段。如果这样做没有帮助,请尝试执行3.1段落中的说明。
3.1 在计算机上创建一个文件夹,其路径仅包含英文字母或数字。下载文件/bin/decrypt_bruteforce.exe,将其保存到此文件夹并在其中创建文件夹“keys”。然后从/keys//static/文件夹下载所有文件,并将它们放在“keys”文件夹中。取出任何加密文件,并将其放入c:\1\文件夹。运行crypto_bruteforce.exe并等待结束。如果找到密钥,则其文件名将显示在窗口中。取得密钥文件并继续执行第4段。
4. 在计算机上创建一个文件夹,该文件夹的路径仅包含英文字母或数字。下载/bin/decrypt.exe文件并将其保存到此文件夹。您也可以改用/bin/decrypt_nolog.exe程序。然后使用上一步中获得的密钥获取文件,并将其放置在该目录中,并带有“key.txt”名称(或者,如果系统不显示文件扩展名,则只是“key”)。如果加密文件位于您的计算机上,则只需运行crypto.exe。如果加密文件位于外部驱动器上,然后将其连接,请按Start->Execute->cmd.exe,然后按Enter。在打开的窗口中键入以下命令,然后按Enter:cd c:\decrypt\&&crypto.exe
0x04 参考链接
https://github.com/shade-team/keys
https://securityaffairs.co/wordpress/102384/cyber-crime/shade-ransomware-shut-down.html