เราเพิ่งเปิดตัวเครื่องมือถอดรหัสที่อัปเดตแล้วสำหรับมัลแวร์เรียกค่าไถ่ Shade (Troldesh) ในฐานะมัลแวร์เรียกค่าไถ่ในตระกูลที่มีชื่อเสียงมายาวนาน Shade ได้เปิดให้บริการมาตั้งแต่ปี 2014 และดำเนินงานมาอย่างต่อเนื่อง

ในช่วงปลายเดือนเมษายน 2020 ผู้พัฒนาได้ประกาศว่า พวกเขาจะหยุดการปฏิบัติการของ Shade และปล่อยคีย์สำหรับถอดรหัสประมาณ 750,000 คีย์ ซึ่งบอกเป็นนัยว่าบริษัทรักษาความปลอดภัยไซเบอร์ ควรสร้างตัวถอดรหัสที่ดีกว่าของที่พวกเขาปล่อยออกมาเอง

DR เพียงแสดงให้ฉันดาวน์โหลด

คุณสามารถดาวน์โหลดตัวถอดรหัสที่นี่เพื่อเรียกคืนไฟล์ของคุณได้ฟรี

หากคุณสนใจว่าเครื่องมือนี้ทำงานอย่างไร เรามีข้อมูลเพิ่มเติมด้านล่าง

รายละเอียดทางเทคนิค:

เครื่องมือนี้กู้คืนไฟล์ที่เข้ารหัส โดยมัลแวร์เรียกค่าไถ่ / Shade / Troldesh ในขณะที่มันอาจเป็นเรื่องง่ายสำหรับการที่ไม่ได้รับการฝึกฝน ในการเข้าใจผิดด้วย Crysis / Dharma แต่ Shade นั้นแตกต่างกันไปหลายวิธี หนึ่งสามารถบอกได้ว่าตระกูลมัลแวร์เรียกค่าไถ่นี้ และรุ่นนี้ ได้แยกออกจากส่วนขยายที่ผนวกเข้ากับไฟล์ที่เข้ารหัสโดยมีค่าไถ่ ransom-notes ที่คล้ายกัน 10 รายการหรือโดยวิธีการเข้ารหัสชื่อไฟล์ (base64):

ส่วนขยายที่ใช้สำหรับชื่อไฟล์ที่เข้ารหัส

.xtbl
.ytbl
.breaking_bad
.heisenberg
.better_call_saul
.los_pollos
.da_vinci_code
.magic_software_syndicate
.windows10
.windows8
.no_more_ransom
.tyson
.crypted000007
.crypted000078
.rsa3072
.decrypt_it
.dexter
.miami_california

Ransom-notes:

รหัสผู้ใช้งานที่จำเป็นสำหรับการจับคู่คีย์นั้น ยังพบในชื่อไฟล์ที่เข้ารหัสสำหรับรุ่นย่อยสำหรับมัลแวร์เรียกค่าไถ่เป็นส่วนใหญ่ สำหรับมัลแวร์รุ่นเก่ากว่านั้น ID สามารถกู้คืนได้จากค่าไถ่ - บันทึกย่อหรือโดยการบังคับใช้คีย์ที่ปล่อยออกมาอย่างจำกัด

โดยค่าเริ่มต้นมัลแวร์มาพร้อมกับคีย์ RSA3072 สาธารณะบางส่วน ซึ่งใช้ในการเข้ารหัสไฟล์ หากไม่มีเซิร์ฟเวอร์ตอบกลับภายในไม่กี่ชั่วโมง ผู้เขียนได้ปล่อยคีย์เข้ารหัสทั้งชุด ที่ใช้ในมัลแวร์ทุกรุ่นในที่เก็บ Github สาธารณะ

ในขณะที่ผู้ประสบภัย ซึ่งระบบสามารถเชื่อมต่อกับเซิร์ฟเวอร์ได้สำเร็จ จะมีคีย์การเข้ารหัสที่กำหนดเอง ผู้ที่ติดมัลแวร์โดยที่ไม่มีการเชื่อมต่อที่ใช้งานอยู่ จะถูกเข้ารหัสด้วยกุญแจสาธารณะ RSA ของฮาร์ดโค้ด

ชุดของคีย์ที่สร้างขึ้นแบบไดนามิก และอัปโหลดไปยังเซิร์ฟเวอร์เจ้าของมัลแวร์เรียกค่าไถ่ ใช้สูงสุด 1.8GB (~ 749K) คีย์ส่วนตัวที่จัดส่งแบบสแตติก มีขนาดเพียง 1.6K และไม่เกิน 4MB

เครื่องมือถอดรหัสของเรานั้น สามารถระบุคีย์ที่ตรงกันได้ทันทีบนแคช และใช้งานได้เร็วขึ้นในการถอดรหัสครั้งต่อไป เครื่องมือไม่ต้องการอินพุตเพิ่มเติมจากผู้ใช้งานเพื่อถอดรหัส มันต้องการการเชื่อมต่ออินเทอร์เน็ตที่สามารถใช้งาน เพื่อคำนวณคีย์แบบไดนามิกหากไฟล์ติดไวรัสในโหมดออนไลน์

เครื่องมือนี้ใช้งานได้อย่างไร

ขั้นตอนที่ 1: ดาวน์โหลดเครื่องมือถอดรหัสด้านล่างและบันทึกไว้ในคอมพิวเตอร์ของคุณ

หมายเหตุ: เครื่องมือนี้ต้องการการเชื่อมต่ออินเทอร์เน็ตที่ใช้งานเนื่องจากเซิร์ฟเวอร์ของเราจะพยายามตอบกลับ ID ที่ส่งด้วยรหัสส่วนตัว RSA-3072 ที่เป็นไปได้ หากขั้นตอนนี้สำเร็จกระบวนการถอดรหัสจะดำเนินต่อไป

ขั้นตอนที่ 2: ดับเบิลคลิกที่แฟ้ม (บันทึกไว้ก่อนหน้านี้เป็น BDParadiseDecryptor.exe) และอนุญาตให้เรียกใช้โดยการคลิกใช่ในพรอมต์ UAC

ขั้นตอนที่ 3: กด Agree ไปยัง End User License Agreement

ในตอนท้ายของขั้นตอนนี้ไฟล์ของคุณควรได้รับการถอดรหัส

หากคุณพบปัญหาใด ๆ โปรดติดต่อเราผ่านทางที่อยู่อีเมลที่ระบุไว้ในเครื่องมือ

หากคุณตรวจสอบตัวเลือกการสำรองข้อมูลคุณ จะมีทั้งไฟล์ที่เข้ารหัส และถอดรหัสในตอนท้ายของกระบวนการ คุณอาจพบบันทึกอธิบายการถอดรหัสในโฟลเดอร์ %temp%\ BDRemovalTool:

หากต้องการกำจัดไฟล์ที่เข้ารหัสของคุณด้านซ้าย เพียงแค่ค้นหาไฟล์ที่ตรงกับนามสกุล และลบออกเป็นกลุ่ม เราไม่สนับสนุนให้คุณทำเช่นนี้ จนกว่าคุณจะตรวจสอบไฟล์ของคุณอีกครั้งว่าสามารถเปิดได้อย่างปลอดภัย และไม่มีความเสียหายเกิดขึ้น

อย่าลบไฟล์ขนาดใหญ่เนื่องจากการถอดรหัสอาจมีความยุ่งยาก และเราอาจมีการอัปเดตบางกรณี สำหรับกรณีที่การถอดรหัสอาจล้มเหลว

ข้อมูลสำหรับการรับทราบ

ผลิตภัณฑ์นี้รวมถึงซอฟต์แวร์ที่พัฒนาโดย OpenSSL Project สำหรับใช้ใน OpenSSL Toolkit (http://www.openssl.org/)