Ransomueri “Shade” publikon çelësat për dekriptim

Operatorët të cilët me vite qëndruan prapa ransomuerit famëkeq “Shade”, kanë njoftuar këto ditë që i kanë ndërprerë aktivitetet e tyre kriminale, duke publikuar njëkohësisht mbi 750,000 çelësa për dekriptim si shenjë e vullnetit të mirë. Me këtë rast ata kanë kërkuar falje nga viktimat për dëmin që u kanë shkaktuar, duke njoftuar që aktivitetet e tyre – të cilat kishin filluar që nga viti 2014 – kanë përfunduar në fund të vitit që lamë pas. Me këtë rast ata kishin publikuar edhe udhëzimet e nevojshme për mënyrën e dekodimit të shënimeve të koduara duke përdorë këta çelësa.

Hulumtuesit e laboratorit Kaspersky kanë konfirmuar vlefshmërinë e këtyre çelësave, dhe janë duke punuar në hartimin e një vegle për dekriptim për t’u lehtësuar viktimave dekriptimin e shënimeve të tyre. Megjithatë, nuk ka një datë kur do publikohet kjo vegël nga Kaspersky.

Caku kryesor i ransomuerit “Shade” kanë qenë Rusia dhe Ukraina, për dallim nga familjet e tjera të ransomuerëve të cilat zakonisht e kishin kursyer nga sulmet Rusinë dhe vendet e tjera të Federatës së Shteteve të pavarura[i].

Sipas Michael Gillespie, zhvillues i faqes për identifikimin e ransomuerëve “ID Ransomware”, ransomueri “Shade” ka qenë aktiv gjatë këtyre viteve deri kah fundi i vitit 2019, kur kishte filluar të venitet.

Shkaku i rënies së numrit të rasteve të sulmeve me këtë ransomuer u bë i qartë këtë fundjavë kur operatorët e ransomuerit “Shade” publikuar në GitHub një depo dhe deklaruan që ata kishin ndërprerë shpërndarjen e ransomuerit kah fundi i vitit 2019.

“Ne jemi ekipi që krijoi një kodues të llojit kali-i-Trojës që kryesisht njihet si “Shade”, “Troldesh” apo “Encoder.858”. Faktikisht, ne kemi ndërprerë shpërndarjen e tij në fund të vitit 2019. Tani kemi marrë një vendim që t’i japim fund këtij tregimi dhe të publikojmë të gjithë çelësat që i kemi për dekodim (mbi 750 mijë gjithsejtë). Po ashtu, kemi publikuar edhe softuerin tonë për dekriptim; gjithashtu shpresojmë që, duke pasur çelësat, kompanitë e anti-viruseve do të inkorporojnë këto në aplikacionet e tyre të cilat janë më të lehtë për përdorim nga shfrytëzuesit. Të gjitha të dhënat e tjera që kemi, e që kanë të bëjnë me aktivitetin tonë (duke përfshirë edhe kodin burimor të trojanit) janë shkatërruar plotësisht. Ne kërkojmë falje nga të gjitha viktimat e këtij trojani duke shpresuar që çelësat që publikuam do t’u ndihmojnë atyre të kthejnë të dhënat e tyre.”

Përveç 750K çelësave individual për dekriptim, grupi në depo ka publikuar edhe 5 çelësa “master” për dekriptim, një udhëzues se si të përdorën çelësat dhe si të dekriptoni shënimet, si dhe një link që të qon tek programi i tyre për dekriptim.

Përderisa grupi “Shade” ka shpjeguar arsyen e publikimit të çelësave për dekriptim, ata nuk kanë shpjeguar arsyen e ndërprerjes së aktiviteteve të tyre.

Ransomueri “Shade” ishte një ndër më të vjetrit dhe më aktivi që nga viti 2014, i cili shpërndahej përmes postës elektronike të bezdisshme (Spam), dhe përmes “exploit kits[ii]”.

Çelësat për dekriptim të cilët u publikuan këtë të hëne nga grupi “Shade”, do t’u mundësojnë kthimin e shënimeve të gjithë atyre viktimave të cilët akoma nuk i kanë fshirë shënime e enkriptuara.

Edhe pse ekspertët këshillojnë që shënimet e enkriptuara nga ransomuerët të ruhen në një vend të sigurt, shumica e viktimave, fatkeqësisht, nuk e bëjnë këtë.