• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Внимание пострадавшим от шифровальщика Shade / Troldesh / Encoder.858

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
24,585
Реакции
13,563
Представители группы стоявшей за распространением трояна-шифровальщика Shade/Troldesh/Encoder.858 опубликовали все имеющиеся ключи, необходимые для расшифровки (более 750 тыс), в открытый доступ. А так же программное обеспечение для дешифровки файлов.

Здравствуйте.

Пишу от имени группы, стоявшей за распространением трояна-шифровальщика Shade/Troldesh/Encoder.858.
Де-факто мы прекратили свою деятельность ещё в прошлом году; сейчас нами было принято решение выложить все имеющиеся у нас ключи, необходимые для расшифровки (более 750 тыс), в открытый доступ.

Зеркала, на которых выложены ключи; там же находятся и инструкции на русском и английском языках:
shade_decryption (все ключи по отдельности; все ключи в архиве; софт)
Папка из Облака Mail.ru (все ключи по отдельности; все ключи в архиве; софт)
shade_decryption – Google Drive (все ключи в архиве; софт)
shade-team/keys (все ключи по отдельности)
shade-binary/bin (софт)

Мы - команда, стоявшая за созданием трояна-шифровальщика, наиболее известного как Shade, Troldesh и Encoder.858.
Фактически мы остановили свою деятельность по его распространению ещё в конце 2019 года, а сейчас, чтобы поставить последнюю точку,
нами было принято решение выложить все имеющиеся у нас ключи (более 750 тысяч), необходимые для расшифровки, в открытый доступ.
Свой софт для расшифровки мы также выкладываем; кроме того, рассчитываем, что антивирусные компании, получив ключи,
сделают собственные инструменты для расшифровки с более удобным интерфейсом.
Все остальные данные, имеющие отношение к нашей деятельности (включая исходные коды самого трояна), были безвозвратно уничтожены.
Мы приносим извинения всем пострадавшим и надеемся, что опубликованные нами ключи помогут им восстановить свои данные.



ЗЕРКАЛА ДЛЯ СКАЧИВАНИЯ:
shade_decryption (все ключи по отдельности; все ключи в архиве; софт)
Папка из Облака Mail.ru (все ключи по отдельности; все ключи в архиве; софт)
shade_decryption – Google Drive (все ключи в архиве; софт)
shade-team/keys (все ключи по отдельности)
shade-binary/bin (софт)



ИНСТРУКЦИЯ ПО РАСШИФРОВКЕ:

Примечание: часть выложенных программ детектируется некоторыми антивирусами, так как использует общие с шифровальщиком блоки кода.
Во избежание удаления все exe-файлы были заархивированы с одинаковым паролем: 123454321

Если ваши файлы после шифрования имеют одно или несколько расширений из этого списка, в папке keys вам будет необходима подпапка main:
* xtbl
* ytbl
* breaking_bad
* heisenberg
* better_call_saul
* los_pollos
* da_vinci_code
* magic_software_syndicate
* windows10
* windows8
* no_more_ransom
* tyson
* crypted000007
* crypted000078
* rsa3072
* decrypt_it
Если ваши файлы после шифрования имеют одно или несколько расширений из этого списка, в папке keys вам будет необходима подпапка alt:
* dexter
* miami_california
Далее необходимая вам подпапка будет обозначаться <dir>.
Подпапка master предназначена для некоторых производителей антивирусного ПО, им были направлены необходимые инструкции.

0. На время любых действий по восстановлению файлов рекомендуется закрыть все программы (в том числе антивирусное ПО) и не выполнять никаких других действий на компьютере.
Если у вас сохранился ID компьютера - перейдите к пункту 1. Если нет - к пункту 2.
Этот ID представляет собой строку из 20 букв и цифр вида AABBCCDDEEFF00112233 и сохранялся в файлах README.txt на рабочем столе и в корневых папках всех дисков.
Кроме того, в поздних версиях шифровальщика ID также добавлялся после имени зашифрованных файлов.

1. Если в коде из файла README.txt после вертикальной черты стоит ноль (например, AABBCCDDEEFF00112233|0), перейдите к пункту 1.1.
Если код из файла README.txt содержит три вертикальных черты (например, AABBCCDDEEFF00112233|765|8|1), перейдите к пункту 1.2.

1.1. Зайдите в папку /keys/<dir>/dynamic/<letter>/, где <letter> - первая буква или цифра вашего кода (в примере - A).
В папке /keys/alt/dynamic/ все файлы расположены вместе, без сортировки по первым буквам ID.
Найдите txt-файл, имя которого совпадает с вашим ID и скачайте его (если таких файлов несколько, скачайте все и повторите процедуру расшифровки с каждым из них).
Для быстрого поиска нужного файла можно воспользоваться поиском вашего ID на странице (сочетание Ctrl+F во всех браузерах).
Если файл(ы) найден(ы), перейдите к пункту 3.

1.2. Зайдите в папку /keys/<dir>/static/ и найдите файл с числом, стоящим после первой вертикальной черты (в примере - 765). Скачайте его и перейдите к пункту 3.

2. Скачайте и запустите программу /bin/getid.exe. Она отобразит ID, выполните с ним действия из пункта 1.
Если это не поможет, попробуйте выполнить пункт 2.1.

2.1. Создайте на своем компьютере папку с путём, содержащим только английские буквы и цифры (далее - c:\1\).
Скачайте в неё файл /bin/decrypt_bruteforce.exe и создайте рядом подпапку keys. После этого скачайте все файлы из /keys/<dir>/static/ (или саму эту папку) и поместите их в c:\1\keys\.
Возьмите любой из зашифрованных файлов и поместите в c:\1\.
Запустите decrypt_bruteforce.exe и дождитесь окончания работы. В случае успешного подбора ключа в окне отобразится имя файла, который его содержит.
Сохраните этот файл и перейдите к пункту 3.

3. Создайте на своем компьютере папку с путём, содержащим только английские буквы и цифры (далее - c:\decrypt\).
Скачайте и сохраните в неё файл /bin/decrypt.exe.
Можно воспользоваться вместо него программой /bin/decrypt_nolog.exe (отличие только в том, что она отображает менее детализированную информацию о ходе расшифровки).
Затем скопируйте в эту папку полученный на предыдущем этапе файл с ключом и переименуйте его в key.txt (key, если в вашей системе отключено отображение расширений файлов).
Если зашифрованные файлы расположены на вашем компьютере, просто запустите decrypt.exe.
Если зашифрованные файлы находятся на внешнем носителе, подключите его, затем нажмите Пуск->Выполнить->(введите) cmd.exe и нажмите Enter.
В открывшемся окне введите команду
cd c:\decrypt\ && decrypt.exe <path>
где <path> - имя подключенного внешнего носителя (например, S:\), и нажмите Enter.
Дождитесь окончания работы дешифровщика.
Если в папке с дешифровщиком появился файл RENAME.txt, скачайте и сохраните в эту папку программу /bin/rename.exe, запустите её и дождитесь окончания работы.


В случае возникновения каких-либо затруднений советуем дождаться появления более удобных инструментов расшифровки от антивирусных компаний,
и/или обратиться за бесплатной помощью на один из тематических форумов, например, Уничтожение вирусов

Обратите внимание, что у администрации нет возможности проверить абсолютную достоверность информации, пожалуйста проводите все действия по дешифровке в безопасной среде.
 
Назад
Сверху Снизу