Shade(Troldesh)勒索宣佈停運並放出解密金鑰，附75萬金鑰下載

​Shade（Troldesh）勒索軟體的運營商已在週末關閉，並以此表示誠意，已釋放了75萬多個解密金鑰，過去的受害者現在可以使用這些金鑰來解密其檔案。

卡巴斯基實驗室的安全研究人員已經證實了洩露金鑰的有效性，並且正在致力於建立免費的解密工具。

在GitHub儲存庫中釋出的短訊息中，Shade團隊解釋了導致他們做出決定的原因。

我們是一個團隊，他們建立了一個木馬加密程式，通常被稱為Shade，Troldesh或Encoder.858。實際上，我們已在2019年底停止分發它。現在，我們決定在這個故事中講最後一點，併發布我們擁有的所有解密金鑰（總共超過750,000個）。我們還將釋出解密軟體。我們還希望，有了金鑰，防病毒公司將釋出自己的更加使用者友好的解密工具。與我們的活動有關的所有其他資料（包括特洛伊木馬的原始碼）均被不可撤消地銷燬。我們向所有特洛伊木馬受害者致歉，並希望我們釋出的金鑰能夠幫助他們恢復資料。

雖然Shade幫派解釋了為什麼他們釋放解密金鑰，但他們沒有解釋為什麼它們關閉。勒索軟體專家中已經形成了幾種理論，但都沒有基於實際的有形威脅情報。

在2019年底關閉之前，Shade勒索軟體一直是最古老的勒索軟體品種之一，於2014年首次發現，直到去年關閉之前幾乎不間斷執行。

它也是最最活躍勒索操作中的一個，經由電子郵件的垃圾郵件活動的組合分佈和利用的混合物。

不過，勒索軟體並不完美，而且在其生命週期內，來自卡巴斯基和英特爾安全部門（現為McAfee）的安全研究人員已經發布了多個解密應用程式，可以幫助受害者恢復檔案。但是，這些解密器僅適用於少數Shade版本，這些工具中的最後一個於2017年釋出。

今天釋出的解密金鑰將為所有使用Shade勒索軟體加密檔案的使用者提供幫助。據信，這些金鑰可用於所有版本的勒索軟體以及曾經感染過的所有使用者。

唯一的條件是使用者仍然可以保留加密檔案，因此可以對其進行解密。

安全專家通常建議將勒索軟體加密的檔案儲存在離線硬碟上，但大多數受害者只是從頭開始重新安裝計算機，刪除加密的資料。那些儲存了加密檔案的人現在可以恢復曾經認為丟失的資料。

解密秘鑰下載：

https://github.com/shade-team/keys

下載映象：

https://yadi.sk/d/36uVFJ6bUBrdpQ （所有金鑰分開；zip中的所有金鑰；軟體）

https://cloud.mail.ru/public/5gy6/4UMfYqAp4 （所有金鑰分開；zip中的所有金鑰；軟體）

https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat（zip中的 所有金鑰；軟體）

https://github.com/shade-team/keys （所有金鑰分開）

https://github.com/shade-binary/bin （軟體）

解密說明：

注意：某些防病毒軟體會檢測到某些已釋出的軟體，因為它與加密器一起使用了常見的程式碼塊。為避免刪除它們，所有exe檔案均使用相同的密碼壓縮：123454321

如果您的加密檔案具有以下副檔名之一，則在後續步驟中，您將需要“ keys”資料夾中的“ main”子資料夾：

xtbl

ytbl

breaking_bad

heisenberg

better_call_saul

los_pollos

da_vinci_code

magic_software_syndicate

windows10

windows8

no_more_ransom

tyson

crypted000007

crypted000078

rsa3072

decrypt_it

如果您的加密檔案具有以下副檔名之一，則在後續步驟中，您將需要“ keys”資料夾中的“ alt”子資料夾：

dexter

miami_california

所需的子資料夾在下面表示為<dir>。“主”子資料夾適用於某些防病毒公司，他們已經被告知要使用該資料夾。

強烈建議關閉計算機上的所有程式（包括防病毒程式），並避免在解密過程中執行任何其他操作。如果您擁有計算機的ID，請轉到第1段。否則，請轉到第2段。此ID是一個20個符號的字串，包含大寫字母和數字（例如AABBCCDDEEFF00112233），並儲存在桌上型電腦和README.txt檔案中。所有磁碟的根資料夾。在更高版本的加密軟體中，檔名之後也新增了ID。

如果README.txt檔案中的程式碼在豎線後包含零（例如AABBCCDDEEFF00112233 | 0），請繼續執行第1.1段。如果README.txt檔案中的程式碼包含三個豎線（例如AABBCCDDEEFF00112233 | 765 | 8 | 1），請繼續執行第1.2段。

1.1輸入/ keys / <dir> / dynamic / <letter> /資料夾，其中<letter>是程式碼的第一個符號（在我們的示例中為A）。/ keys / alt / dynamic /資料夾將所有檔案都包含在內，而無需按程式碼的首字母進行劃分。找到名稱包含您的ID的.txt檔案並下載（如果有多個這樣的檔案，請下載所有檔案，然後對每個檔案重複整個解密過程）。您可以使用網頁上的搜尋（瀏覽器中的Ctrl + F組合鍵）來加快搜尋過程。如果找到檔案，請繼續執行第3段。

1.輸入/ keys / <dir> / static /資料夾，然後找到名稱為程式碼第一個豎線後的數字的檔案（在我們的示例中為765）。下載它並繼續執行第3段。

下載並執行/bin/getid.exe程式。它會顯示您的ID，然後您應該轉到它的第1段。如果這樣做沒有幫助，請嘗試執行2.1段落中的說明。

2.在計算機上建立一個資料夾，其路徑僅包含英文字母或數字（在進一步的說明中為c：\ 1 \）。下載檔案/bin/decrypt_bruteforce.exe，將其儲存到此資料夾並在其中建立資料夾“ keys”。然後從/ keys / <dir> / static /資料夾下載所有檔案，並將它們放在“ keys”資料夾中。取出任何加密檔案，並將其放入c：\ 1 \資料夾。執行crypto_bruteforce.exe並等待其工作結束。如果找到金鑰，則其檔名將顯示在視窗中。取得金鑰檔案並繼續執行第3段。

在計算機上建立一個資料夾，該資料夾的路徑僅包含英文字母或數字（在進一步的說明中為c：\ decrypt \）。下載/bin/decrypt.exe檔案並將其儲存到此資料夾。您也可以改用/bin/decrypt_nolog.exe程式（唯一的區別是它顯示的有關解密過程的詳細資訊較少）。然後使用上一步中獲得的金鑰獲取檔案，並將其放置在該目錄中，並帶有“ key.txt”名稱（或者，如果系統不顯示副檔名，則只是“ key”）。如果加密檔案位於您的計算機上，則只需執行crypto.exe。如果加密檔案位於外部驅動器上，然後將其連線，請按Start-> Execute->（輸入）cmd.exe，然後按Enter。在開啟的視窗中鍵入以下命令，然後按Enter：cd c：\ decrypt \ && crypto.exe <path>其中，<path>是您連線的裝置的根目錄（例如S :）。等到解密過程結束。如果您在帶有解密器的資料夾中找到名稱為RENAME.txt的檔案，則下載/bin/rename.exe，將其放入此資料夾中，執行它並等待其工作結束。