自2014年开始传播的 Troldesh 勒索软件(亦被称为Shade或者Encoder.858)从2019年年底开始活跃度逐步下降。
多数勒索软件会将俄罗斯和乌克兰设置为白名单不感染该地区所有用户,但这款勒索软件恰恰是针对上述地区的。
负责维护该勒索软件反馈报告列表的研究人员称,自从去年年底开始该勒索软件活跃度逐步下降但没人知道原因。
现在谜底由 Troldesh 开发者亲自揭晓 , 该勒索软件背后的黑客团队发布声明称不再继续开发维护这款勒索软件。
名为 ShadeTeam 的账号自称是这款勒索软件的开发运营团队, 目前该团队在 GitHub 平台发布75万个解密密钥。
同时该账号还在声明中向受害者表示歉意,受影响的用户都可以通过解密密钥来恢复此前被该软件加密的文件等。
这个黑客团队称希望安全软件开发商能够使用这些密钥开发解密工具,让受害者通过解密工具更方便的解密文件。
尽管这个黑客团队并未说明受害者具体有多少,不过从解密密钥上看保守估计这些年来受害者应该已经超过百万。
如果你认为这个黑客团队良心发现那就是大错特错的,因为现在公布解密密钥对大多数受害者来说并没有什么用。
主要原因在于多数用户被勒索软件感染后要么选择支付赎金,要么就直接重装系统并将所有被加密的文件删除掉。
事实上选择后者也就是直接重装删除加密文件的用户属于大多数,相信没多少用户会长期时间保存被加密的文件。
因此除了近期遭到感染的用户估计还可以使用解密密钥外,多数受害者即便获得这些密钥也并不能恢复加密文件。
这款勒索软件自 2014 年开始就在网络上传播,百万级的受害者又有几个能真正用到最新公布的这些解密密钥呢?
尽管黑客已经提供简易的解密工具,但该工具使用难度非常大,主要是这款勒索软件并没有使用统一的解密密钥。
不过卡巴斯基已经确认这些密钥是有效的因此该公司正在开发便于用户操作的解密工具,具体发布时间暂时未知。
因此现阶段速搜资源吧只能提醒大家如果不慎遭到该勒索软件感染,那么暂时不要急于重装系统和删除被加密的文件。
待各大安全公司根据解密密钥开发出专用的解密工具后,直接使用这些解密工具进行解密比直接重装要省事的多。
如果你的大量文件的文件名都出现点 (.) 以下后缀,则代表属于Troldesh/Shade勒索软件感染的可使用解密密钥。
| .xtbl | .no_more_ransom | .da_vinci_code |
| .ytbl | .crypted000007 | .rsa3072 |
| .breaking_bad | .crypted000078 | .decrypt_it .tyson |
| .heisenberg | .magic_software_syndicate | .windows10 |
| .better_call_saul | .los_pollos | .windows8 |
-----BEGIN RSA PRIVATE KEY----- MIIG4wIBAAKCAYEA4FRPHpSaZMnrwq2Ji62jGUcfvfgf9Hr2JuKgZ56/8b+7VTrt Hn7ZW3XdISN0Fb0tIe1MBHohHSRgkaX+U8JJucUhUooyqxSupxIJ3vjQvZNtMdrQ f5q76c2IGMh5axKeAoMJVdCteKCbpWm2QE3we40uTBOm/tPiRlempl47x9Rz0WgN OSKy+d3HbegPAO+npSAl7tk7Q4YUlBrIISIQLK6biuSLn6X+tz9HIXNCJVpUllJL wErnrQWSWnP7mfDzii5WL4fvZU2Ziy1uPc3f0BlIk6id1n204Z83VNNBA/qe4KFK NkmPwACu1tG7XlKOgAhXRSgp8uyJ3MMZiqtZdY23FvKg/cnJCx8w/i8k84OTr48B s5+LJxbtWNhdMcC+mdL6InsZKJ7tNYB9LOthkJ/ZsgpJ0dWqN0xjGyz0hpzSlBQ+ XKzFmGhMUQ5JkXewFwR5POorWCPSoD7pRHaujnl94qL0jUd9xsvN60zL93ooa5nN WkvzaqIHHQi+0aVfAgMBAAECggGACBFgKxRjHR7Z+M1u9fQPupgBPz7OP2ewtKNP 64odEx+3KBCPeJpNTOnHQyrYQPPlzKORKVQPHtIxGuviYrbJGgJJ+YL44YhD48RV UIyYTUkhEzrwZrZ07aqzq1iCbWRlBGgcDNcNdhoonuFXaaaj8H2aXagTSHTsXWVH nBIlikFMzQo194kU8MGWK5C+AWWdHOY0Fwv/AqWu1cjEy9RCyqiY9XzUvLAmogaH k19m0JsYEbPx/39yJ5ncsp4bPWUZ++5lnTgd2Nv3K2uy6PWUCKk2Rw5dR0EO32xp wtY9lpU32pfZm8jBul0Nc2hPC5RSzVP8/4MKDb6CbLryqRMSUjx5MTLgaq7i4+0R I8LezXbkMOINNs7l6IG4WNdM686a54a7n0iTjB2aorBC2GjEx/mmzkZcteGgqsZV js1IolfDT7v3ANsUJWgHvzWkzZVL7ijs/sqCa+sMHlNNtOoGsuLuDQy6+ziqDzTk mwWOUW22P1u+ofLSPBZyysj3p9ZpAoHBAPcZerZnIkd0ZQT5rw9mdsAilzL74dYn gc3sJzsNnfAaUxd4rsI9iTK26MAoasljTAN9UUyS443Uji7ERWUJP7XlToyeTHBa cL3h81S4L50gJFwjXT40D7v3GVl1RTM2Vda88DZhchiFXmq18yuErCr1WuzfoR8h SN3jJMe3rXSpciU7yU927pOn0ajAszlyNNLHQRnwPD+i4DFefG7t8Q0INgGLTNMP HF98zNKHUKaCbZRdi7RLxujO4VK9wJu4RQKBwQDoaN1ArcXzZrlslXZW3QnkRlAI FfGWuos31h/uU6f8AJ17pC+/0aUdAazXJiuOmFQCz6GPAe9PosWQhVt51kzfLYVb uiRgU+mJhhzhLo+jwPzfZVUT+2y2N03oneEGTbnhpUhfbN5FhVQcC250I1karSAt MwYUF+sij8PL0XFAnGpfERKrA/yLvPykBlYFP2zFgPoKe8/E0i9u1LEE6xOlG5ea aMkTpZ1DXO1Wqb+ipCIfrkz6PBuum40OM7O5O1MCgcAAvxz1zB34ZUug1jhHLaIS NoiKaORnxzrHKn172jCt9wZlPcIZaCIv+wl8+yJHdXtXT1udhZwWY5wCXClxgrOk kwrHtfq5JCzPBg28JcpPCTfS53ByramWgcqb0JTi8LkVqwB2yZiUpmKApAgWC5KR lqgtqwdLlsgnk3Ya/F0TyydDIYkcKlnSLGGfxuVDuSqbsGpr76Pe9VkEDSsHEsT1 qx6upoMW6CbHyxK7WBlQR3iZSCcR5mC1d1qK63PXhJkCgcAWQnz2he5QusUFvmcA ONmKsKVXsOpbunA9H9gdFowfWdu7jOU55RWAarmoPbKsTLC3ODXMIa5PHVL43Zz+ VWU1dwGv4Gs9gqv6jQrVEoWVdJWDvAvjBxDJfxCKOBzmYqlsEE2XPjEnzXZZ3Upt +zi8klpjmeB6KjROMiDZs6y6OIEDq/nywUX+CFLWTvkMNZ/wZsMMIAGtY0hBwENY Kj/Ob48cre6cYB9o5UyiIU4GgNv31tTunrU0Cxf+hTswgZsCgcEA015GjmzI0z1T bJ/WbSSOCdjFrPDAGsMof8QWujkPqVz1DU8PBwksgwpakdUmxPdLfA1gWUFAlaAD agaUAsKEYMalJVajyBbBrJejpQiQX4d67+cq4jURf0HVIUrhrpMGd4Fvep1/MXzB zDJCEG//czLOzEqexrWgswgjzFIsU2vV2M85VTedQuxN3Ok8vvtK35dpjeRMwJhV ZXyLCh1K+WpGbq5zP3w1EqeeBdGydGcPhU3BheCSg0jgrkrmU7i1 -----END RSA PRIVATE KEY-----
