Шифровальщик Troldesh самоустранился и раздал ключи жертвам

Опубликовано at 28.04.2020
139 0

Операторы печально известного шифровальщика Shade (он же Troldesh) прекратили кампании по распространению вредоноса и поставили исследователей в тупик своей неожиданной благотворительностью.

Так, киберпреступники, ответственные за несколько самых свирепых киберкампаний последних лет, безвозмездно опубликовали более 750 тыс. ключей, которые жертвы могут использовать для расшифровки своих файлов.

Мотивации своих действий хакеры не озвучили, однако также выразили надежду на оперативную реакцию антивирусных вендоров, которые должны создать дополнительные инструменты для помощи пострадавшим от Shade пользователям.

По словам операторов Shade, де-факто они прекратили свою деятельность еще в прошлом году, а теперь решили выложить в открытый доступ все имеющиеся у них ключи для расшифровки файлов, которых насчитывается более 750 тыс. Специалисты «Лаборатории Касперского» подтвердили подлинность опубликованных ключей и сейчас работают над созданием бесплатного инструмента для восстановления зашифрованных вымогателем файлов.

Ресурсы, на которых выложены ключи и инструкции на русском и английском языках:

https://yadi.sk/d/36uVFJ6bUBrdpQ (все ключи по отдельности, все ключи в архиве, софт);

https://cloud.mail.ru/public/5gy6/4UMfYqAp4 (все ключи по отдельности, все ключи в архиве, софт);

https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat (все ключи в архиве, софт);

https://github.com/shade-team/keys (все ключи по отдельности);

https://github.com/shade-binary/bin (софт).

Эксперты АКБ напоминают, что предыдущее массовое заражение Troldesh произошло в марте 2019 года. Это выглядело как массовая кибератака на российские компании… от имени других российских компаний. Хакеры слали фишинговые письма с умных устройств от имени банков и торговых сетей. С помощью писем хакеры пытались заразить инфраструктуру компаний вирусом-шифровальщиком Shade/Troldesh с целью выкупа. По данным РБК, сперва хакеры рассылали письма от имени банков (в том числе Газпромбанка, «Открытия», Бинбанка), затем – от имени торговых сетей («Дикси», Metro, «Магнита», «Ашана»). Особенность атаки, как и в нынешней волне – использование зараженных умных устройств со всего мира как плацдарма, так что отследить реальных хакеров практически невозможно.

Вирус Troldesh был впервые зафиксирован еще в 2014 году, однако с тех пор его неоднократно модифицировали и расширяли функционал.

Читайте также на АКБ:

Шифровальщик Troldesh вернулся – теперь и с майнером!

Подписываемся, следим @CyberAgency

Related Post

Блокчейн внедряют в систему голосования

Опубликовано - 16.11.2017 0
Фирма кибербезопасности «Лаборатория Касперского» представила свою систему на основе блокчейн-технологий для безопасного онлайн-голосования. Система поддерживается прозрачными алгоритмами шифрования. В заявлении…

Ноды Microsoft Azure стали добычей майнеров

Опубликовано - 16.06.2020 0
В последние годы Microsoft Azure стали излюбленной целью киберпреступников (см. Linux-червь заражает инфраструктуру Azure через почтовые сервера и Уязвимость в…