zip文件解密_Shade(Troldesh)勒索宣布停运并放出75万个解密密钥

0x00 事件背景

勒索软件Shade背后组织于周末宣布收手，并在GitHub上发布了超过75万个解密密钥。

卡巴斯基实验室的安全研究人员已经证实了解密密钥的有效性，并且正在致力于创建免费的解密工具。

在GitHub存储库中发布的短消息中(https://github.com/shade-team/keys)，Shade团队解释了导致他们做出决定的原因。

“我们是一个团队，开发了一个木马加密程序，通常被称为Shade，Troldesh或Encoder.858。实际上，我们已在2019年底停止分发。现在，我们决定为此事画上句号，并发布我们拥有的所有解密密钥(总共超过750,000个)。我们还将发布解密软件。我们还希望，有了密钥，防病毒公司将能开发并发布更加用户友好的解密工具。与我们的活动有关的所有其他数据(包括特洛伊木马的源代码)均被不可撤消地销毁。我们向所有特洛伊木马受害者致歉，并希望我们发布的密钥能够帮助他们恢复数据。”

经验证，这次发布的解密密钥可以为所有被勒索软件Shade加密的文件解密。

0x01 Shade简介

Shade自2014年以来一直活跃，当时在俄罗斯发现了大规模的感染。Shade感染在2018年10月期间有所增加，一直持续到2018年12月下半月，在圣诞节期间休息，然后在2019年1月中旬恢复增加一倍。2019年5月研究人员又发现了新一波Shade勒索软件攻击，包括美国和日本。受Shade勒索软件影响的前五个国家是美国，日本，印度，泰国和加拿大，主要针对高科技、批发和教育行业。

Shade感染目标是运行 Microsoft Windows 的主机。通常通过垃圾邮件(特别是恶意电子邮件附件)传播。附件通常是zip文件，收件人解压缩附件并双击该文件，勒索软件开始运行。其中提取的zip内容是一个Javascript脚本，用来下载恶意payload(勒索软件)，该payload通常托管在CMS站点上。

一旦系统受到感染，恶意代码就会设置桌面背景来宣布感染，并且将名为README1.txt到README10.txt的Desktop 10个文本文件放在桌面上，在README.txt文件中就包含有关通过电子邮件地址与黑客联系的指示，以便沟通赎金事宜。

Shade加密方式是将文件在CBC模式下使用AES 256加密。对于每个加密文件，将生成两个随机的256位AES密钥：一个用于加密文件的内容，另一个用于加密文件名。

0x02 解密秘钥

解密秘钥下载：https://github.com/shade-team/keys

下载镜像：

https://yadi.sk/d/36uVFJ6bUBrdpQ(所有密钥分开；zip中的所有密钥；软件)
https://cloud.mail.ru/public/5gy6/4UMfYqAp4(所有密钥分开；zip中的所有密钥；软件)
https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat(zip中的所有密钥；软件)
https://github.com/shade-team/keys(所有密钥分开)
https://github.com/shade-binary/bin(软件)

0x03 解密说明

注意：某些防病毒软件会检测到某些已发布的软件，因为它与加密器一起使用了常见的代码块。为避免删除它们，所有exe文件均使用相同的密码压缩：123454321

如果您的加密文件具有以下扩展名之一，则在后续步骤中，您将需要“keys”文件夹中的“main”子文件夹：

xtbl
ytbl
breaking_bad
Heisenberg
better_call_saul
los_pollos
da_vinci_code
magic_software_syndicate
windows10
windows8
no_more_ransom
Tyson
crypted000007
crypted000078
rsa3072
decrypt_it

如果您的加密文件具有以下扩展名之一，则在后续步骤中，您将需要“keys”文件夹中的“alt”子文件夹：

dexter
miami_california

所需的子文件夹在下面表示为

1.强烈建议关闭计算机上的所有程序(包括杀毒软件)，并避免在解密过程中执行任何其他操作。如果您拥有计算机的ID，请转到第2段。否则，请转到第3段。此ID是一个20个符号的字符串，包含大写字母和数字(例如AABBCCDDEEFF00112233)，并保存在台式机和README.txt文件中。所有磁盘的根文件夹。在更高版本的加密软件中，文件名之后也添加了ID。

2.如果README.txt文件中的代码在竖线后包含零(例如AABBCCDDEEFF00112233|0)，请继续执行第2.1段。如果README.txt文件中的代码包含三个竖线(例如AABBCCDDEEFF00112233|765|8|1)，请继续执行第2.2段。

2.1 进入/keys/

2.2 进入/keys/

3.下载并执行/bin/getid.exe程序。它会显示您的ID，然后您应该转到它的第2段。如果这样做没有帮助，请尝试执行3.1段落中的说明。

3.1在计算机上创建一个文件夹，其路径仅包含英文字母或数字。下载文件/bin/decrypt_bruteforce.exe，将其保存到此文件夹并在其中创建文件夹“keys”。然后从/keys/

4. 在计算机上创建一个文件夹，该文件夹的路径仅包含英文字母或数字。下载/bin/decrypt.exe文件并将其保存到此文件夹。您也可以改用/bin/decrypt_nolog.exe程序。然后使用上一步中获得的密钥获取文件，并将其放置在该目录中，并带有“key.txt”名称(或者，如果系统不显示文件扩展名，则只是“key”)。如果加密文件位于您的计算机上，则只需运行crypto.exe。如果加密文件位于外部驱动器上，然后将其连接，请按Start->Execute->cmd.exe，然后按Enter。在打开的窗口中键入以下命令，然后按Enter：cd c:\decrypt\&&crypto.exe其中，是您连接的设备的根目录(例如S:)。等到解密过程结束。如果您在带有解密器的文件夹中找到名称为RENAME.txt的文件，则下载/bin/rename.exe，将其放入此文件夹中，运行它并等待结束。

0x04 参考链接

https://github.com/shade-team/keys

https://securityaffairs.co/wordpress/102384/cyber-crime/shade-ransomware-shut-down.html