Shade Ransomware

Gli operatori dietro Shade Ransomware (Troldesh) hanno chiuso le loro operazioni, rilasciato le oltre 750.000 chiavi di decrittazione e si sono scusati per il danno che hanno causato alle loro vittime.

Shade Ransomware è in funzione da circa il 2014. A differenza di altre famiglie di ransomware che evitano specificamente la crittografia delle vittime in Russia e in altri paesi della CSI, Shade si rivolge principalmente a persone in Russia e Ucraina.

Secondo Michael Gillespie, il creatore del sito di identificazione ransomware ID Ransomware, la presenza di Shade Ransomware è stata costante negli anni fino alla fine del 2019, quando ha iniziato a diminuire.

La causa dei contributi decrescenti è stata rivelata questo fine settimana quando gli operatori di Shade Ransomware hanno creato un repository GitHub e hanno dichiarato di aver smesso di distribuire il ransomware alla fine del 2019.

Come parte di questa affermazione, gli operatori di ransomware si scusano per le loro azioni e forniscono istruzioni su come recuperare i file utilizzando le chiavi rilasciate.

"Siamo il team che ha creato il cryoto-trojan noto principalmente come Shade, Troldesh o Encoder.858. In effetti, abbiamo interrotto la sua distribuzione alla fine del 2019. Ora abbiamo preso la decisione di mettere l'ultimo punto in questa storia e di pubblicare tutte le chiavi di decrittazione che abbiamo (oltre 750 mila). Stiamo anche pubblicando il nostro software di decodifica; speriamo che, avendo le chiavi, le aziende antivirus pubblicheranno i loro strumenti di decrittazione più semplici da usare. Tutti gli altri dati relativi alla nostra attività (compresi i codici sorgente del trojan) sono stati distrutti. Ci scusiamo con tutte le vittime del trojan e speriamo che le chiavi che abbiamo pubblicato li aiuteranno a recuperare i loro dati ", afferma GitHub.

Nel repository sono incluse cinque chiavi di decrittazione principali, oltre 750.000 chiavi di decrittazione di singole vittime, le istruzioni su come usarle e un collegamento al loro programma di decrittazione.

A Shade master decryption key

Sfortunatamente, l'uso del decryptor non è molto semplice e le vittime potrebbero avere difficoltà a farlo funzionare correttamente.

Da alcuni test effettuati nei nostri laboratori siamo in grado di confermare la validità delle chiavi e di poterle utilizzare per decrittografare una macchina di prova.

Alcune case produttrici di antivirus, hanno già dichiarato che aggiorneranno i loro strumenti di decrittazione ransomware per includere queste chiavi e rendere più facile per le vittime recuperare i propri file gratuitamente.

Non esiste ancora una sequenza temporale relativa a quando verrà aggiornato lo strumento di decrittazione.


Euro Informatica S.p.A., leader in questo settore può metterti a disposizione la decennale esperienza nel monitorare e identificare qualsiasi rischio remoto. Disponiamo di moltissime soluzioni e tecnologie, chiavi in mano, che permetteranno alla tua azienda di rendere da subito le soluzioni di smart working semplici e sicure, permettendo ai tuoi collaboratori di essere subito nelle condizioni di lavoro ottimali e sicure sia per loro ma soprattutto per tutta l’infrastruttura di rete della tua azienda.

Il nostro team è a tua disposizione per informazioni sui nostri servizi. Contattaci gratuitamente.