Shade Ransomware不再构成威胁:恶意行为者关闭所有操作并释放了超过750K解密密钥

Shade勒索软件是一种可怕的加密工具,于2014年开始入侵。随着时间的流逝,该威胁(也称为Troldesh或Encoder.858)在加密受害者的文件并要求付款以换取其后,开始在受影响的计算机上分发其他恶意软件。解密。看起来,经过六年的恶意实践,Shade勒索软件运营商已决定将其退出。

经过六年的恶意活动,网络犯罪分子停止了他们的幕后恶意软件操作

4月,Shade帮派创建了一个GitHub存储库,他们在此处宣布他们已在2019年底停止传播勒索软件。他们的声明解释了2019年底和2020年初受Shade勒索软件影响的受害者的可疑下降率(图1)。 ),而不是往年。

多年的阴影恶意软件感染率

图1:该图显示了从2019年第三季度开始Shade勒索软件案例的突然下降。下降率一直持续到2019年剩余时间和2020年初。资料来源:卡巴斯基

“我们是一支创建了特洛伊木马加密程序的团队,主要被称为Shade,Troldesh或Encoder.858。实际上,我们在2019年底停止了其发行。现在,我们决定将这个故事的最后一点放在发布所有我们拥有的解密密钥(总共超过750,000个);我们还发布我们的解密软件;我们也希望防病毒公司能够拥有这些密钥,发布自己的,更加用户友好的解密工具。我们的活动(包括木马的源代码)被无可挽回地遭到破坏。我们道歉,木马和希望,我们发表了钥匙将帮助他们恢复他们的数据的所有受害者,”国,它们在GitHub上岗位

Shade Team存储库不再可用,但是下面的屏幕快照(图2)将使您大致了解它的外观。

阴影团队GitHub存储库

图2:该图显示了Shade Team的GitHub存储库,其中包括注释,解密密钥下载链接以及文件解密说明。

超过750K的解密密钥可供阴影受害者恢复其丢失的数据

在他们的GitHub存储库中,Shade犯罪团伙包括五个主解密密钥和超过750K的单个受害者的解密密钥。他们还提供了其解密软件的链接,以及有关受害者如何恢复丢失的数据的说明。不幸的是,正如恶意行为者指出的那样,他们的解密工具不是用户友好的。因此,一些网络安全公司已经开始研究解密程序,该程序可以简化所有受影响用户的流程。话虽如此,每个不幸成为这种恶意威胁的受害者的用户现在都可以找回其加密文件。为此,只需从信誉良好的安全公司中搜索可用的解密器。

Troldesh勒索软件被评为2019年通过电子邮件营销活动最活跃的分布式恶意软件

根据Group-IB的计算机紧急响应小组(CERT-GIB)进行的研究,Shade(Troldesh)勒索软件是2019年上半年通过恶意电子邮件活动传播最活跃的威胁。CERT-GIB声称在此期间,用于攻击的三种最广泛的工具是Troldesh(53%),RTM(17%)和Pony Formgrabber(6%)。

IB集团关于Shadeler索软件的推文

图3:该图显示了Group-IB在Twitter上有关其对2019年上半年最普遍威胁的研究的帖子。来源:Group-IB

已知的Shade勒索软件是针对法国,德国,英国,意大利,乌克兰和俄罗斯等欧洲国家的威胁。研究人员报告说,俄罗斯是遭受Shade恶意软件攻击损失最大的国家。看来,Shade团队52%的恶意电子邮件附件是专门发送到俄语地址的。这些信息不足为奇,因为大多数报告都支持Shade勒索软件起源于通过垃圾邮件活动传播的面向俄罗斯的威胁这一理论。

一旦感染可以访问受害者的计算机,它将对所有有价值的文件(例如照片,文档,媒体文件以及其他数据)进行加密,并为它们附加不同的扩展名。这是Shade勒索软件使用的已知扩展的列表:

  • .xtbl
  • .ytbl
  • 。绝命毒师
  • .heisenberg
  • .better_call_saul
  • .los_pollos
  • .da_vinci_code
  • .magic_software_syndicate
  • .windows10
  • .windows8
  • .no_more_ransom
  • .tyson
  • .crypted000007
  • .crypted000078
  • .rsa3072
  • .decrypt_it
  • .dexter
  • .miami_california

之后,Shade将更改桌面背景(图4),并删除一个README.txt文件,作为赎金记录,其中包含两种语言的文本-英语和俄语。

阴影勒索软件桌面背景

图4:该图显示了Troldesh(阴影)用来替换受害者计算机的桌面背景的墙纸。

关于这种威胁的有趣之处在于,它的编程目的不仅仅是文件加密。人们发现,Shade勒索软件可以用于加密货币挖掘,以及用于产生和增加在线流量的手段,以便从广告活动中获得收入。如前所述,Troldesh还可以充当其他恶意软件的“载体”。随着时间的流逝,它开始在受害者的PC上安装远程管理工具(RAT)。另一个有趣的事实是,一旦勒索软件渗透到系统中,它将扫描特定类型的数据,这表明该设备已被俄罗斯会计部门使用。如果找到此类数据,则该恶意软件将发起Teamspy Trojan攻击,而不是勒索软件。此外,Shade还将删除TeamViewer,7ZIP,NirCmd,RDP包装器和TeamViewer VPN驱动程序等工具的修改版本,以更改操作系统的设置并通过计算机进行远程访问。

这真的是Shade Ransomware的终结吗?

虽然已经确定解密密钥是真实的,但一些安全研究人员并不完全确定共享密钥的是真正的Shade帮派。毕竟,伪装成真正的Shade操作员的人可以在互联网上窃取和共享解密密钥。就我们所知,一个敌对的帮派可以做到。

人们不应该放心使用它,而是要依赖可以使用解密软件的事实。仅仅因为用户现在可以使用可用的解密工具恢复丢失的数据,并不意味着他们受到了保护。最好不要与垃圾邮件进行交互,尤其是当它们包含文件附件时。此外,检查发件人的电子邮件凭据可能会走很长一段路。任何人都可以声明主题标题中的所有内容,并假装是知名的公司或组织。但是,他们无法使用他们所模仿的人或公司的实际电子邮件地址。邮件的接收者应在打开电子邮件之前将给定的地址与合法的地址进行比较。如果地址不匹配,则意味着该邮件是欺诈的一部分,而发件人不是他们声称的身份。

May 19, 2020

发表评论