Un usuario de GitHub que afirma representar a los autores del Troldesh Ransomware que se hacen llamar el «equipo de Shade» publicó esta declaración el domingo pasado:

“Somos el equipo que creó un encriptador de troyanos conocido principalmente como Shade, Troldesh o Encoder.858. De hecho, detuvimos su distribución a fines de 2019. Ahora tomamos la decisión de poner el último punto en esta historia y publicar todas las claves de descifrado que tenemos (más de 750 mil). También estamos publicando nuestro descifrado suave; También esperamos que, teniendo las claves, las compañías de antivirus emitan sus propias herramientas de descifrado más fáciles de usar. Todos los demás datos relacionados con nuestra actividad (incluidos los códigos fuente del troyano) se destruyeron irrevocablemente. Pedimos disculpas a todas las víctimas del troyano y esperamos que las claves que publicamos les ayuden a recuperar sus datos «.

¿Son estas las verdaderas claves de descifrado de Troldesh?

Si. Desde que se publicaron la declaración y las claves, las claves se han verificado ya que nuestros amigos de Kaspersky han confirmado la validez de las claves y están trabajando en una herramienta de descifrado . Esa herramienta se agregará al proyecto No More Ransom . El sitio web «No More Ransom» es una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa, el Centro Europeo de Delitos Cibernéticos de Europol, Kaspersky y McAfee con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagarles a los delincuentes.

En el pasado, algunas herramientas de descifrado para algunas de las variantes de Troldesh ya se habían publicado en el sitio web «No More Ransom». Actualizaremos esta publicación cuando se libere el descifrador de Kaspersky y nos gustaría advertir que no se sigan las instrucciones en GitHub a menos que sea un usuario muy hábil. Los pocos días adicionales de espera no deberían doler tanto y un intento fallido puede hacer que los archivos sean completamente inútiles.

¿Cuándo es útil usar la herramienta de descifrado de Troldesh?

Antes de salir y ejecutar esta herramienta esperada en su computadora victimizada tan pronto como salga, verifique si sus archivos cifrados tienen una de estas extensiones:

  • xtbl
  • ytbl
  • hacerse malo
  • Heisenberg
  • Mejor llamar a Saul
  • los_pollos
  • Código da Vinci
  • magic_software_syndicate
  • windows10
  • windows8
  • no_more_ransom
  • Tyson
  • crypted000007
  • crypted000078
  • rsa3072
  • descifrarlo
  • diestro
  • miami_california

Si las extensiones de archivo de su (s) sistema (s) afectado (s) no coinciden con una en la lista anterior, entonces sus archivos están fuera del alcance de esta herramienta de descifrado. Si encuentra una coincidencia, debe esperar a que se publique la herramienta de descifrado.

¿Por qué esta pandilla publicaría las claves de descifrado de Troldesh?

La razón de todo esto es desconocida y está sujeta a especulación. Podemos imaginar algunas razones diferentes. De poco probable a creíble.

  • Tal vez su conciencia los alcanzó. Después de todo, se disculpan con las víctimas. Pero estas son solo las víctimas que no pagaron o no pudieron recuperar sus archivos a pesar de pagar el rescate.
  • El equipo de Shade puede sospechar que alguien ha violado su bóveda de claves y se vio obligado o decidió por su propia cuenta publicar las claves por ese motivo. Pero no hemos visto reclamos para apoyar esa posibilidad.
  • La rentabilidad del ransomware había alcanzado su límite. Ransom.Troldesh existe desde 2014 y vimos un fuerte aumento de detección una vez que los actores de la amenaza se aventuraron fuera de los objetivos rusos en febrero de 2019. Pero después de ese aumento inicial, el número de detecciones se desvaneció gradualmente. Sin embargo, todavía estaba activo y generaba dinero.
Ransom.Troldesh detecciones con el tiempo
Número de detecciones de Malwarebytes de Ransom.Troldesh desde julio de 2018 hasta abril de 2020
  • El desarrollo de este ransomware ha alcanzado su límite técnico y el equipo se centrará en un nuevo proyecto de software. El equipo declaró haber detenido la distribución a fines de 2019, pero no pudo revelar en qué están trabajando actualmente.

Lo que sabemos

Todo lo que sabemos con certeza es que las claves han sido verificadas y una herramienta de descifrado está en proceso. Todo lo demás son especulaciones basadas en una declaración hecha en GitHub por una cuenta con el nombre de “sombra-equipo” que se unió a GitHub el 25 de abril ª , justo antes de la declaración.

Las víctimas pueden mantener los ojos bien abiertos para el lanzamiento de la herramienta de descifrado. Nos mantendremos informados.