بازیابی فایل های قفل شده توسط باج افزار Shade/Troldesh

گردانندگان باج افزار Shade – که بانام Troldesh نیز شناخته می‌شود – ضمن اعلام توقف فعالیت این باج افزار، به نشانه حسن نیت اقدام به عرضه بیش از ۷۵۰ هزار کلید رمزگشایی متعلق به قربانیان خود کرده‌اند. به نقل از پایگاه اینترنتی ZDNet، محققان Kaspersky Lab صحت کلیدهای افشاشده را تائید کرده و از ساخت ابزار رمزگشایی رایگان بر پایه این کلیدها خبر داده‌اند.

باج افزار Shade
باج افزار Shade



در پیام کوتاهی که بر روی انباره GitHub به اشتراک گذاشته‌شده گروه Shade دلیل این اقدام خود را چنین شرح داده است:

ما همان گروهی هستیم که تروجان-رمزگذاری که عمدتاً بانام‌های Shade، Troldesh و Encoder,۸۵۸ شناخته می‌شود را ساخته بودیم. در حقیقت، ما توزیع آن را در پایان سال ۲۰۱۹ متوقف کردیم. اکنون برآن شدیم تا آن اتفاقات را به تاریخ سپرده و تمامی کلیدهای رمزگشایی را که در اختیار ماست (درمجموع بیش از ۷۵۰ هزار عدد) منتشر کنیم. ما همچنین در حال انتشار ابزار رمزگشایی خود هستیم. ضمن اینکه امیدواریم که با در اختیار داشتن این کلیدها، شرکت‌های ضدویروس نیز اقدام به ساخت ابزارهای رمزگشایی بیشتر با رابط‌هایی به‌مراتب کاربر پسندانه‌تر کنند. تمامی داده‌ها مرتبط با فعالیت ما (شامل منابع کد تروجان) به‌صورتی غیرقابل‌بازگشت معدوم شدند. ما از همه قربانیان تروجان عذرخواهی کرده و امیدواریم کلیدهایی که ما منتشر کرده‌ایم آن‌ها را قادر به بازگرداندن داده‌های خود کند.

درحالی‌که گروه Shade دلیل عرضه کلیدهای رمزگشایی را توضیح داده اما اشاره‌ای به علت توقف فعالیت مخرب خود نکرده‌اند. موضوعی که سبب مطرح‌شدن تئوری‌هایی از سوی کارشناسان باج افزار که البته هیچ‌کدام بر پایه اطلاعات واقعی نیستند شده است.

Shade یکی از قدیمی‌ترین نمونه‌های باج افزاری است که از زمان ظهور در سال ۲۰۱۴ تا زمان تعطیلی آن در پایان سال میلادی گذشته به‌طور بی‌وقفه در حال فعالیت بود.

همچنین می‌توان آن را مرتبط با فعال‌ترین عملیات‌های باج افزاری دانست که با ترکیب کارزارهای هرزنامه‌ای و بسته‌های بهره‌جو (Exploit Kit) سیستم کاربران را هدف قرار می‌داده است.

Shade باج افزاری عالی نبود اما وجود اشکالاتی در آن در دوران حیاتش موجب شد که در چندین نوبت، محققان Kaspersky و Intel Security (که اکنون بانام McAfee شناخته می‌شود) ابزارهایی را عرضه کنند که امکان بازگردانی فایل‌ها را برای قربانیان فراهم می‌کرد. اگرچه ابزارهای مذکور قادر به رمزگشایی فایل‌های رمز شده توسط تعداد اندکی از نسخ Shade بودند و تاریخ عرضه آخرین نمونه این ابزارها نیز به سال ۲۰۱۷ برمی‌گردد.

کلیدهای رمزگشایی جدید به‌تمامی کاربران فرصت بازگرداندن فایل رمز شده توسط Shade را می‌دهد. به نظر می‌رسد مجموعه انتشاریافته، کلید همه نسخ این باج افزار و تمامی کاربرانی که تاکنون به آن آلوده‌شده‌اند را شامل می‌شود.

درحالی‌که محققان امنیتی به کاربران توصیه می‌کنند که فایل‌های رمز شده توسط باج افزار را بر روی یک درایو دیسک سخت غیر متصل به اینترنت نگهداری کنند اما بسیاری از قربانیان ضمن نصب مجدد سیستم‌عامل، داده‌های رمز شده را نیز حذف می‌کنند. اکنون آن دسته از قربانیان Shade که فایل‌های رمزگذاری شده خود را حفظ کرده بودند می‌توانند داده‌هایی که تا اندکی قبل ازدست‌رفته در نظر گرفته می‌شدند را بازگردانند.

مجموعه کلیدهای منتشرشده از طریق لینک قابل دریافت است:

https://github.com/shade-team/keys