首页 > 安全钻研 > 安全传递 > 安全公告

Shade(Troldesh)勒索颁发停运并放出75万个解密密钥

颁布功夫 2020-04-30

0x00 事务布景

勒索软件Shade背后组织于周末颁发收手，并在GitHub上颁布了超过75万个解密密钥。

GA黄金甲·(中国区)官方网站

卡巴斯基尝试室的安全钻研人员已经证实相始密钥的有效性，并且在致力于创建免费的解密工具。

在GitHub存储库中颁布的短新闻中（https://github.com/shade-team/keys），Shade团队诠氏缢导致他们做出决定的原因。

“我们是一个团队，开发了一个木马加密法式，通常被称为Shade，Troldesh或Encoder.858。现实上，我们已在2019年底终场分发。此刻，我们决定为此事画上句号，并颁布我们占有的所有解密密钥（总共超过750,000个）。我们还将颁布解密软件。我们还但愿，有了密钥，防病毒公司将能开发并颁布越发用户敦睦的解密工具。与GA黄金甲活动有关的所有其他数据（蕴含特洛伊木马的源代码）均被不成裁撤地销毁。我们向所有特洛伊木马受害者致歉，并但愿我们颁布的密钥可能援手他们复原数据。”

经验证，这次颁布的解密密钥可以为所有被勒索软件Shade加密的文件解密。

0x01 Shade简介

Shade自2014年以来一向活跃，其时在俄罗斯发现了大规模的习染。Shade习染在2018年10月期间有所增长，一向持续到2018年12月下半月，在圣诞节期间休息，而后在2019年1月中旬复原增长一倍。2019年5月钻研人员又发现了新一波Shade勒索软件攻击，蕴含美国和日本。受Shade勒索软件影响的前五个国度是美国，日本，印度，泰国和加拿大，重要针对高科技、批发和教育行业。

Shade习染指标是运行 Microsoft Windows 的主机。通常通过垃圾邮件（出格是恶意电子邮件附件）传布。附件通常是zip文件，收件人解压缩附件并双击该文件，勒索软件起头运行。其中提取的zip内容是一个Javascript剧本，用来下载恶意payload（勒索软件），该payload通常托管在CMS站点上。

一旦系统受到习染，恶意代码就会设置桌面布景来颁发习染，并且将名为README1.txt到README10.txt的Desktop 10个文本文件放在桌面上，在README.txt文件中就蕴含有关通过电子邮件地址与黑客联系的批示，以便沟通赎金事宜。

GA黄金甲·(中国区)官方网站

Shade加密方式是将文件在CBC模式下使用AES 256加密。对于每个加密文件，将天生两个随机的256位AES密钥：一个用于加密文件的内容，另一个用于加密文件名。

0x02 解密秘钥

解密秘钥下载：https://github.com/shade-team/keys

下载镜像：

? https://yadi.sk/d/36uVFJ6bUBrdpQ （所有密钥分隔；zip中的所有密钥；软件）

? https://cloud.mail.ru/public/5gy6/4UMfYqAp4 （所有密钥分隔；zip中的所有密钥；软件）

? https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat（zip中的所有密钥；软件）

? https://github.com/shade-team/keys （所有密钥分隔）

? https://github.com/shade-binary/bin （软件）

0x03 解密注明

把稳：某些防病毒软件会检测到某些已颁布的软件，由于它与加密器一路使用了常见的代码块。为预防删除它们，所有exe文件均使用一样的密码压缩：123454321

若是您的加密文件拥有以下扩大名之一，则在后续步骤中，您将必要“keys”文件夹中的“main”子文件夹：

? xtbl

? ytbl

? breaking_bad

? Heisenberg

? better_call_saul

? los_pollos

? da_vinci_code

? magic_software_syndicate

? windows10

? windows8

? no_more_ransom

? Tyson

? crypted000007

? crypted000078

? rsa3072

? decrypt_it

若是您的加密文件拥有以下扩大名之一，则在后续步骤中，您将必要“keys”文件夹中的“alt”子文件夹：

? dexter

? miami_california

所需的子文件夹鄙人面暗示为。“master”子文件夹合用于某些防病毒公司，他们已经被奉告要使用该文件夹。

1. 强烈建议关关推算机上的所有法式（蕴含杀毒软件），并预防在解密过程中执行任何其他操作。若是您占有推算机的ID，请转到第2段。不然，请转到第3段。此ID是一个20个符号的字符串，蕴含大写字母和数字（例如AABBCCDDEEFF00112233），并保留在台式机和README.txt文件中。所有磁盘的根文件夹。在更高版本的加密软件中，文件名之后也增长了ID。

2. 若是README.txt文件中的代码在竖线后蕴含零（例如AABBCCDDEEFF00112233|0），请持续执行第2.1段。若是README.txt文件中的代码蕴含三个竖线（例如AABBCCDDEEFF00112233|765|8|1），请持续执行第2.2段。

2.1 进入/keys//dynamic//文件夹，其中是代码的第一个符号（在GA黄金甲示例中为A）。/keys/alt/dynamic/文件夹将所有文件都蕴含在内，而无需按代码的首字母进行划分。找到名称蕴含您的ID的.txt文件并下载（若是有多个这样的文件，请下载所有文件，而后对每个文件沉复整个解密过程）。您能够使用网页上的搜索（浏览器中的Ctrl + F组合键）来加快搜索过程。若是找到文件，请持续执行第4段。

2.2 进入/keys//static/文件夹，而后找到名称为代码第一个竖线后的数字的文件（在GA黄金甲示例中为765）。下载它并持续执行第4段。

3. 下载并执行/bin/getid.exe法式。它会显示您的ID，而后您应该转到它的第2段。若是这样做没有援手，请尝试执行3.1段落中的注明。

3.1 在推算机上创建一个文件夹，其蹊径仅蕴含英文字母或数字。下载文件/bin/decrypt_bruteforce.exe，将其保留到此文件夹并在其中创建文件加装keys”。而后从/keys//static/文件夹下载所有文件，并将它们放在“keys”文件夹中。取出任何加密文件，并将其放入c:\1\文件夹。运行crypto_bruteforce.exe并期待实现。若是找到密钥，则其文件名将显示在窗口中。获得密钥文件并持续执行第4段。

4. 在推算机上创建一个文件夹，该文件夹的蹊径仅蕴含英文字母或数字。下载/bin/decrypt.exe文件并将其保留到此文件夹。您也能够改用/bin/decrypt_nolog.exe法式。而后使用上一步中获得的密钥获取文件，并将其搁置在该目录中，并带佑装key.txt”名称（或者，若是系统不显示文件扩大名，则只是“key”）。若是加密文件位于您的推算机上，则只需运行crypto.exe。若是加密文件位于表部驱动器上，而后将其衔接，请按Start->Execute->cmd.exe，而后按Enter。在打开的窗口中键入以下号令，而后按Enter：cd c:\decrypt\&&crypto.exe其中，是您衔接的设备的根目录（例如S:）。比及解密过程实现。若是您在带有解密器的文件夹中找到名称为RENAME.txt的文件，则下载/bin/rename.exe，将其放入此文件夹中，运行它并期待实现。

0x04 参考链接

https://github.com/shade-team/keys

https://securityaffairs.co/wordpress/102384/cyber-crime/shade-ransomware-shut-down.html

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Shade(Troldesh)勒索颁发停运并放出75万个解密密钥

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线