首頁 > 安全研究 > 安全通報 > 安全通告

Shade(Troldesh)勒索宣布停運并放出75萬個解密密鑰

發布時間 2020-04-30

0x00 事件背景


勒索軟件Shade背后組織于周末宣布收手,并在GitHub上發布了超過75萬個解密密鑰。




卡巴斯基實驗室的安全研究人員已經證實了解密密鑰的有效性,并且正在致力于創建免費的解密工具。

在GitHub存儲庫中發布的短消息中(https://github.com/shade-team/keys),Shade團隊解釋了導致他們做出決定的原因。

“我們是一個團隊,開發了一個木馬加密程序,通常被稱為Shade,Troldesh或Encoder.858。實際上,我們已在2019年底停止分發?,F在,我們決定為此事畫上句號,并發布我們擁有的所有解密密鑰(總共超過750,000個)。我們還將發布解密軟件。我們還希望,有了密鑰,防病毒公司將能開發并發布更加用戶友好的解密工具。與我們的活動有關的所有其他數據(包括特洛伊木馬的源代碼)均被不可撤消地銷毀。我們向所有特洛伊木馬受害者致歉,并希望我們發布的密鑰能夠幫助他們恢復數據?!?

經驗證,這次發布的解密密鑰可以為所有被勒索軟件Shade加密的文件解密。


0x01 Shade簡介


Shade自2014年以來一直活躍,當時在俄羅斯發現了大規模的感染。Shade感染在2018年10月期間有所增加,一直持續到2018年12月下半月,在圣誕節期間休息,然后在2019年1月中旬恢復增加一倍。2019年5月研究人員又發現了新一波Shade勒索軟件攻擊,包括美國和日本。受Shade勒索軟件影響的前五個國家是美國,日本,印度,泰國和加拿大,主要針對高科技、批發和教育行業。

Shade感染目標是運行 Microsoft Windows 的主機。通常通過垃圾郵件(特別是惡意電子郵件附件)傳播。附件通常是zip文件,收件人解壓縮附件并雙擊該文件,勒索軟件開始運行。其中提取的zip內容是一個Javascript腳本,用來下載惡意payload(勒索軟件),該payload通常托管在CMS站點上。

一旦系統受到感染,惡意代碼就會設置桌面背景來宣布感染,并且將名為README1.txt到README10.txt的Desktop 10個文本文件放在桌面上,在README.txt文件中就包含有關通過電子郵件地址與黑客聯系的指示,以便溝通贖金事宜。



Shade加密方式是將文件在CBC模式下使用AES 256加密。對于每個加密文件,將生成兩個隨機的256位AES密鑰:一個用于加密文件的內容,另一個用于加密文件名。


0x02 解密秘鑰


解密秘鑰下載:https://github.com/shade-team/keys

下載鏡像:

? https://yadi.sk/d/36uVFJ6bUBrdpQ (所有密鑰分開;zip中的所有密鑰;軟件)

? https://cloud.mail.ru/public/5gy6/4UMfYqAp4 (所有密鑰分開;zip中的所有密鑰;軟件)

? https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat(zip中的 所有密鑰;軟件)

? https://github.com/shade-team/keys (所有密鑰分開)

? https://github.com/shade-binary/bin (軟件)


0x03 解密說明


注意:某些防病毒軟件會檢測到某些已發布的軟件,因為它與加密器一起使用了常見的代碼塊。為避免刪除它們,所有exe文件均使用相同的密碼壓縮:123454321

如果您的加密文件具有以下擴展名之一,則在后續步驟中,您將需要“keys”文件夾中的“main”子文件夾:

? xtbl

? ytbl

? breaking_bad

? Heisenberg

? better_call_saul

? los_pollos

? da_vinci_code

? magic_software_syndicate

? windows10

? windows8

? no_more_ransom

? Tyson

? crypted000007

? crypted000078

? rsa3072

? decrypt_it

如果您的加密文件具有以下擴展名之一,則在后續步驟中,您將需要“keys”文件夾中的“alt”子文件夾:

? dexter

? miami_california

所需的子文件夾在下面表示為?!癿aster”子文件夾適用于某些防病毒公司,他們已經被告知要使用該文件夾。

1. 強烈建議關閉計算機上的所有程序(包括殺毒軟件),并避免在解密過程中執行任何其他操作。如果您擁有計算機的ID,請轉到第2段。否則,請轉到第3段。此ID是一個20個符號的字符串,包含大寫字母和數字(例如AABBCCDDEEFF00112233),并保存在臺式機和README.txt文件中。所有磁盤的根文件夾。在更高版本的加密軟件中,文件名之后也添加了ID。

2. 如果README.txt文件中的代碼在豎線后包含零(例如AABBCCDDEEFF00112233|0),請繼續執行第2.1段。如果README.txt文件中的代碼包含三個豎線(例如AABBCCDDEEFF00112233|765|8|1),請繼續執行第2.2段。

2.1 進入/keys//dynamic//文件夾,其中是代碼的第一個符號(在我們的示例中為A)。/keys/alt/dynamic/文件夾將所有文件都包含在內,而無需按代碼的首字母進行劃分。找到名稱包含您的ID的.txt文件并下載(如果有多個這樣的文件,請下載所有文件,然后對每個文件重復整個解密過程)。您可以使用網頁上的搜索(瀏覽器中的Ctrl + F組合鍵)來加快搜索過程。如果找到文件,請繼續執行第4段。

2.2 進入/keys//static/文件夾,然后找到名稱為代碼第一個豎線后的數字的文件(在我們的示例中為765)。下載它并繼續執行第4段。

3. 下載并執行/bin/getid.exe程序。它會顯示您的ID,然后您應該轉到它的第2段。如果這樣做沒有幫助,請嘗試執行3.1段落中的說明。

3.1 在計算機上創建一個文件夾,其路徑僅包含英文字母或數字。下載文件/bin/decrypt_bruteforce.exe,將其保存到此文件夾并在其中創建文件夾“keys”。然后從/keys//static/文件夾下載所有文件,并將它們放在“keys”文件夾中。取出任何加密文件,并將其放入c:\1\文件夾。運行crypto_bruteforce.exe并等待結束。如果找到密鑰,則其文件名將顯示在窗口中。取得密鑰文件并繼續執行第4段。

4. 在計算機上創建一個文件夾,該文件夾的路徑僅包含英文字母或數字。下載/bin/decrypt.exe文件并將其保存到此文件夾。您也可以改用/bin/decrypt_nolog.exe程序。然后使用上一步中獲得的密鑰獲取文件,并將其放置在該目錄中,并帶有“key.txt”名稱(或者,如果系統不顯示文件擴展名,則只是“key”)。如果加密文件位于您的計算機上,則只需運行crypto.exe。如果加密文件位于外部驅動器上,然后將其連接,請按Start->Execute->cmd.exe,然后按Enter。在打開的窗口中鍵入以下命令,然后按Enter:cd c:\decrypt\&&crypto.exe其中,是您連接的設備的根目錄(例如S:)。等到解密過程結束。如果您在帶有解密器的文件夾中找到名稱為RENAME.txt的文件,則下載/bin/rename.exe,將其放入此文件夾中,運行它并等待結束。


0x04 參考鏈接


https://github.com/shade-team/keys

https://securityaffairs.co/wordpress/102384/cyber-crime/shade-ransomware-shut-down.html







上一篇 下一篇