Los operadores detrás del Shade Ransomware (Troldesh) cerraron sus operaciones, lanzaron más de 750,000 claves de descifrado y se disculparon por el daño que causaron a sus víctimas.

Shade Ransomware ha estado en funcionamiento desde el año 2014. A diferencia de otras familias de ransomware que evitan específicamente el cifrado de víctimas en Rusia y otros países de la CEI, Shade se dirige principalmente a personas en Rusia y Ucrania.

Según Michael Gillespie, el creador del sitio de identificación de ransomware ID Ransomware, la información relacionada con el Shade Ransomware ha sido constante a lo largo de los años hasta finales de 2019, cuando comenzó a disminuir.

La causa de la disminución de los envíos se reveló este fin de semana cuando los operadores de Shade Ransomware crearon un repositorio en GitHub y declararon que dejaron de distribuir el ransomware a fines de 2019.

Como parte de esta declaración, los operadores de ransomware se disculpan por sus acciones y proporcionan instrucciones sobre cómo recuperar archivos utilizando las claves liberadas.

«Somos el equipo que creó un encriptador de troyanos conocido principalmente como Shade, Troldesh o Encoder.858. De hecho, detuvimos su distribución a fines de 2019. Ahora tomamos la decisión de poner el último punto en esta historia y publicamos todas las claves de descifrado que tenemos (más de 750 mil en total). También publicamos nuestro software para descifrado; también esperamos que, al tener las claves, las compañías antivirus emitan sus propias herramientas de descifrado más fáciles de usar. Nuestra actividad (incluidos los códigos fuente del troyano) se destruyó irrevocablemente. Pedimos disculpas a todas las víctimas del troyano y esperamos que las claves que publicamos les ayuden a recuperar sus datos «, afirma la publicación de GitHub.

En el repositorio se incluyen cinco llaves maestras de descifrado, más de 750 K claves de descifrado de víctimas individuales, instrucciones sobre cómo usarlas y un enlace a su programa de descifrado.

Desafortunadamente, usar el descifrador no es muy sencillo, y las víctimas pueden tener problemas para que funcione correctamente.

Sergey Golovanov de Kaspersky Lab confirmó que las claves son válidas y que pudo usarlas para descifrar una máquina de prueba.

Golovanov también dijo que Kaspersky actualizará su herramienta de descifrado de ransomware RakhniDecryptor para incluir estas claves y facilitar a las víctimas recuperar sus archivos de forma gratuita.

Todavía no hay una línea de tiempo sobre cuándo se actualizará la herramienta de descifrado.

Fuente: Bleeping Computer. Artículo orginal acá