Công cụ giải mã Shade / Troldesh Ransomware

Công cụ giải mã Shade / Troldesh Ransomware

Chúng tôi vừa phát hành một công cụ giải mã được cập nhật cho hade (Troldesh) Ransomware. Là một họ của ransomware, Shadow đã hoạt động từ năm 2014 và hoạt động ổn định kể từ đó.

Vào cuối tháng 4 năm 2020, các nhà khai thác tuyên bố rằng đang dừng hoạt động của Shadow và phát hành công khai khoảng 750.000 khóa giải mã gợi ý rằng các công ty an ninh mạng nên xây dựng một bộ giải mã tốt hơn so với chúng.

DR, chỉ cho tôi tải về

Bạn có thể tải xuống miễn phí bộ giải mã tại đây để lấy lại các tệp của bạn.

Nếu bạn quan tâm đến cách thức hoạt động của công cụ, chúng tôi có thêm thông tin bên dưới.

Mô tả kỹ thuật:

Công cụ này phục hồi các tập tin được mã hóa bởi Shade/Troldesh ransomware. Trong khi có thể dễ dàng nhầm lẫn nó với Crysis/Dharma ransomware, nhưng Shadow lại khá khác biệt theo nhiều cách. Người ta có thể phân biệt chúng và phiên bản ransomware này bằng phần mở rộng mà nó gắn vào các tệp được mã hóa, bằng khoảng 10 ghi ransom tương tự hoặc theo cách đặt tên các tệp được mã hóa (base64):

Tiện ích mở rộng được sử dụng cho tên tệp được mã hóa:

.xtbl
.ytbl
.breaking_bad
.heisenberg
.better_call_saul
.los_pollos
.da_vinci_code
.magic_software_syndicate
.windows10
.windows8
.no_more_ransom
.tyson
.crypted000007
.crypted000078
.rsa3072
.decrypt_it
.dexter
.miami_california

Ransom-notes:

User ID, được yêu cầu cho khớp key, cũng được tìm thấy trong tên tệp được mã hóa, cho hầu hết các phiên bản phụ của ransomware. Đối với các phiên bản cũ hơn của phần mềm độc hại, ID có thể được phục hồi từ ghi chú ransom hoặc bằng cách bắt buộc tập hợp các khóa được phát hành giới hạn.

Theo mặc định, phần mềm độc hại đi kèm với một số khóa RSA3072 công khai, được sử dụng để mã hóa các tệp, nếu không có máy chủ nào phản hồi trong vòng vài giờ. Các tác giả đã phát hành toàn bộ bộ khóa mã hóa được sử dụng trong tất cả các phiên bản phần mềm độc hại trong kho lưu trữ Github công khai.

Mặc dù các nạn nhân có hệ thống có thể kết nối thành công với máy chủ sẽ có các khóa mã hóa tùy chỉnh, những người bị nhiễm không có kết nối hoạt động sẽ được mã hóa bằng các khóa công khai RSA được mã hóa cứng.

Tập hợp các khóa được tạo động và được tải lên máy chủ của chủ sở hữu ransomware mất tới 1,8 GB (~ 749K), các khóa riêng được vận chuyển tĩnh chỉ có kích thước 1,6K và không vượt quá 4 MB.

Công cụ giải mã của chúng tôi có thể xác định nhanh chóng các khóa tương ứng, lưu trữ chúng và áp dụng nhanh hơn cho các lần giải mã tiếp theo. Công cụ không yêu cầu bất kỳ đầu vào bổ sung nào từ người dùng để giải mã. Nó yêu cầu kết nối internet hoạt động để tính toán các phím động, nếu các tệp đã bị nhiễm trong chế độ trực tuyến.

Cách sử dụng công cụ này

Bước 1: Tải về công cụ giải mã bên dưới và lưu nó trên máy tính của bạn.

Lưu ý: Công cụ này YÊU CẦU kết nối internet đang hoạt động, vì các máy chủ của chúng tôi sẽ cố gắng trả lời ID đã gửi bằng khóa riêng RSA-3072 hợp lệ. Nếu bước này thành công, quá trình giải mã sẽ tiếp tục. 

Bước 2: Bấm đúp vào tệp (trước đây được lưu dưới dạng BDParadiseDecryptor.exe) và cho phép nó chạy bằng cách bấm Yes trong lời nhắc UAC.

Bước 3: Agree to the End User License Agreement

Ở cuối bước này, các tệp của bạn sẽ được giải mã.

Nếu bạn gặp phải bất kỳ vấn đề nào, vui lòng liên hệ với chúng tôi qua địa chỉ email được chỉ định bên trong công cụ.

Nếu bạn đã chọn tùy chọn backup, bạn sẽ có cả tệp được mã hóa và giải mã ở cuối quá trình. Bạn cũng có thể tìm thấy nhật ký mô tả quá trình giải mã trong thư mục %temp%\BDRemovalTool:

Để loại bỏ các tệp được mã hóa bên trái của bạn, chỉ cần tìm kiếm các tệp khớp với phần mở rộng và xóa chúng hàng loạt. Chúng tôi không khuyến khích bạn làm điều này, cho đến khi bạn kiểm tra kỹ các tệp của mình có thể được mở một cách an toàn và không có dấu vết hư hỏng.

Không xóa các tệp lớn, vì việc giải mã của chúng có thể khó khăn và chúng tôi có thể có một số cập nhật cho các trường hợp cụ thể trong đó việc giải mã có thể bị lỗi.

Acknowledgement:

Sản phẩm này bao gồm phần mềm được phát triển bởi OpenSSL Project, để sử dụng trong Bộ công cụ OpenSSL Toolkit (http://www.openssl.org/)