首页 > 清静研究 > 清静转达 > 清静通告

Shade(Troldesh)勒索宣布停运并放出75万个解密密钥

宣布时间 2020-04-30

0x00 事务配景

勒索软件Shade背后组织于周末宣布收手，，，并在GitHub上宣布了凌驾75万个解密密钥。。

人生就是博-尊龙凯时中国官网

卡巴斯基实验室的清静研究职员已经证实相识密密钥的有用性，，，并且正在致力于建设免费的解密工具。。

在GitHub存储库中宣布的短新闻中（https://github.com/shade-team/keys），，，Shade团队诠释了导致他们做出决议的缘故原由。。

“我们是一个团队，，，开发了一个木马加密程序，，，通常被称为Shade，，，Troldesh或Encoder.858。。现实上，，，我们已在2019年底阻止分发。。现在，，，我们决议为此事画上句号，，，并宣布我们拥有的所有解密密钥（总共凌驾750,000个）。。我们还将宣布解密软件。。我们还希望，，，有了密钥，，，防病毒公司将能开发并宣布越发用户友好的解密工具。。与人生就是博活动有关的所有其他数据（包括特洛伊木马的源代码）均被不可吊销地销毁。。我们向所有特洛伊木马受害者致歉，，，并希望我们宣布的密钥能够资助他们恢复数据。。”

履历证，，，这次宣布的解密密钥可以为所有被勒索软件Shade加密的文件解密。。

0x01 Shade简介

Shade自2014年以来一直活跃，，，其时在俄罗斯发明了大规模的熏染。。Shade熏染在2018年10月时代有所增添，，，一直一连到2018年12月下半月，，，在圣诞节时代休息，，，然后在2019年1月中旬恢复增添一倍。。2019年5月研究职员又发明了新一波Shade勒索软件攻击，，，包括美国和日本。。受Shade勒索软件影响的前五个国家是美国，，，日本，，，印度，，，泰国和加拿大，，，主要针对高科技、批发和教育行业。。

Shade熏染目的是运行 Microsoft Windows 的主机。。通常通过垃圾邮件（特殊是恶意电子邮件附件）撒播。。附件通常是zip文件，，，收件人解压缩附件并双击该文件，，，勒索软件最先运行。。其中提取的zip内容是一个Javascript剧本，，，用来下载恶意payload（勒索软件），，，该payload通常托管在CMS站点上。。

一旦系统受到熏染，，，恶意代码就会设置桌面配景来宣布熏染，，，并且将名为README1.txt到README10.txt的Desktop 10个文本文件放在桌面上，，，在README.txt文件中就包括有关通过电子邮件地点与黑客联系的指示，，，以便相同赎金事宜。。

人生就是博-尊龙凯时中国官网

Shade加密方法是将文件在CBC模式下使用AES 256加密。。关于每个加密文件，，，将天生两个随机的256位AES密钥：一个用于加密文件的内容，，，另一个用于加密文件名。。

0x02 解密秘钥

解密秘钥下载：https://github.com/shade-team/keys

下载镜像：

? https://yadi.sk/d/36uVFJ6bUBrdpQ （所有密钥脱离；；；；；；zip中的所有密钥；；；；；；软件）

? https://cloud.mail.ru/public/5gy6/4UMfYqAp4 （所有密钥脱离；；；；；；zip中的所有密钥；；；；；；软件）

? https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat（zip中的所有密钥；；；；；；软件）

? https://github.com/shade-team/keys （所有密钥脱离）

? https://github.com/shade-binary/bin （软件）

0x03 解密说明

注重：某些防病毒软件会检测到某些已宣布的软件，，，由于它与加密器一起使用了常见的代码块。。为阻止删除它们，，，所有exe文件均使用相同的密码压缩：123454321

若是您的加密文件具有以下扩展名之一，，，则在后续办法中，，，您将需要“keys”文件夹中的“main”子文件夹：

? xtbl

? ytbl

? breaking_bad

? Heisenberg

? better_call_saul

? los_pollos

? da_vinci_code

? magic_software_syndicate

? windows10

? windows8

? no_more_ransom

? Tyson

? crypted000007

? crypted000078

? rsa3072

? decrypt_it

若是您的加密文件具有以下扩展名之一，，，则在后续办法中，，，您将需要“keys”文件夹中的“alt”子文件夹：

? dexter

? miami_california

所需的子文件夹在下面体现为。。“master”子文件夹适用于某些防病毒公司，，，他们已经被见告要使用该文件夹。。

1. 强烈建议关闭盘算机上的所有程序（包括杀毒软件），，，并阻止在解密历程中执行任何其他操作。。若是您拥有盘算机的ID，，，请转到第2段。。不然，，，请转到第3段。。此ID是一个20个符号的字符串，，，包括大写字母和数字（例如AABBCCDDEEFF00112233），，，并生涯在台式机和README.txt文件中。。所有磁盘的根文件夹。。在更高版本的加密软件中，，，文件名之后也添加了ID。。

2. 若是README.txt文件中的代码在竖线后包括零（例如AABBCCDDEEFF00112233|0），，，请继续执行第2.1段。。若是README.txt文件中的代码包括三个竖线（例如AABBCCDDEEFF00112233|765|8|1），，，请继续执行第2.2段。。

2.1 进入/keys//dynamic//文件夹，，，其中是代码的第一个符号（在人生就是博示例中为A）。。/keys/alt/dynamic/文件夹将所有文件都包括在内，，，而无需按代码的首字母举行划分。。找到名称包括您的ID的.txt文件并下载（若是有多个这样的文件，，，请下载所有文件，，，然后对每个文件重复整个解密历程）。。您可以使用网页上的搜索（浏览器中的Ctrl + F组合键）来加速搜索历程。。若是找到文件，，，请继续执行第4段。。

2.2 进入/keys//static/文件夹，，，然后找到名称为代码第一个竖线后的数字的文件（在人生就是博示例中为765）。。下载它并继续执行第4段。。

3. 下载并执行/bin/getid.exe程序。。它会显示您的ID，，，然后您应该转到它的第2段。。若是这样做没有资助，，，请实验执行3.1段落中的说明。。

3.1 在盘算机上建设一个文件夹，，，其路径仅包括英文字母或数字。。下载文件/bin/decrypt_bruteforce.exe，，，将其生涯到此文件夹并在其中建设文件夹“keys”。。然后从/keys//static/文件夹下载所有文件，，，并将它们放在“keys”文件夹中。。取出任何加密文件，，，并将其放入c:\1\文件夹。。运行crypto_bruteforce.exe并期待竣事。。若是找到密钥，，，则其文件名将显示在窗口中。。取得密钥文件并继续执行第4段。。

4. 在盘算机上建设一个文件夹，，，该文件夹的路径仅包括英文字母或数字。。下载/bin/decrypt.exe文件并将其生涯到此文件夹。。您也可以改用/bin/decrypt_nolog.exe程序。。然后使用上一步中获得的密钥获取文件，，，并将其安排在该目录中，，，并带有“key.txt”名称（或者，，，若是系统不显示文件扩展名，，，则只是“key”）。。若是加密文件位于您的盘算机上，，，则只需运行crypto.exe。。若是加密文件位于外部驱动器上，，，然后将其毗连，，，请按Start->Execute->cmd.exe，，，然后按Enter。。在翻开的窗口中键入以下下令，，，然后按Enter：cd c:\decrypt\&&crypto.exe其中，，，是您毗连的装备的根目录（例如S:）。。比及解密历程竣事。。若是您在带有解密器的文件夹中找到名称为RENAME.txt的文件，，，则下载/bin/rename.exe，，，将其放入此文件夹中，，，运行它并期待竣事。。

0x04 参考链接

https://github.com/shade-team/keys

https://securityaffairs.co/wordpress/102384/cyber-crime/shade-ransomware-shut-down.html

人生就是博-尊龙凯时中国官网

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

Shade(Troldesh)勒索宣布停运并放出75万个解密密钥

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线