Nếu có quan tâm đến lĩnh vực bảo mật - an ninh mang, chắc hẳn bạn không còn xa lạ gì với cái tên Shade Ransomware (Troldesh). Chủng mã độc tống tiền này có thể được coi là một trong những “cơn ác mộng” tồi tệ nhất, đeo bám thế giới bảo mật trong suốt nhiều năm qua. Tuy nhiên, những kẻ đứng sau vận hành Shadow Ransomware vừa chính thức đưa ra tuyên bố ngừng hoạt động, phát hành hơn 750.000 key giải mã, đồng thời gửi lời xin lỗi công khai về những thiệt hại mà chúng đã gây ra cho các nạn nhân.
Shade Ransomware được phát hiện lần đầu từ khoảng năm 2014. Không giống như các chủng ransomware phổ biến khác, mã độc tống tiền này chủ yếu nhắm mục tiêu đến các đối tượng ở Nga, Ukraine, cũng như nhiều quốc gia CIS khác.
Sự sụp đổ của Shade Ransomware là hệ quả đã được dự báo từ trước sau quá trình suy thoái và mất dần tính hiệu quả của nó trong hơn nửa năm qua. Theo tiết lộ của chuyên gia bảo mật Michael Gillespie - nhà sáng lập tổ chức an ninh mạng ID Ransomware, hiệu suất tấn công của Shade Ransomware đã sụt giảm nhanh chóng và liên tục kể từ cuối năm 2019 đến nay, do không có nhiều đổi mới trong phương thức lây lan, khiến chúng dễ dàng bị hóa giải và ngăn chặn từ sớm bởi các hệ thống bảo mật tiên tiến.
Mới đây, những kẻ khai thác Shade Ransomware đã tạo một repository trên GitHub và tuyên bố rằng chúng đã ngừng phân phối mã độc từ cuối năm 2019. Ngoài ra, lời xin lỗi, key giải mã cũng như tài liệu hướng dẫn về cách thức khôi phục dữ liệu bị mã hóa bởi Shade Ransomware cũng đã được đưa ra:
“Chúng tôi là đội ngũ đã tạo ra một bộ mã hóa trojan, thường được biết tới với tên gọi Shade Ransomware, Troldesh hoặc Encoder.858. Trên thực tế, chúng tôi đã ngừng phân phối vào cuối năm 2019, và bây giờ là thời phù hợp để kết thúc toàn bộ câu chuyện này. Sẽ có hơn 750,000 key giải mã, kèm với đó là các phần mềm và tài liệu hướng dẫn giải mã được chúng tôi phát hành trong thời gian tới như một lời xin lỗi chân thành tới bất cứ ai đã và đang gặp rắc rối với Shade Ransomware. Ngoài ra, toàn bộ dữ liệu khác liên quan đến hoạt động của chúng tôi (bao gồm cả mã nguồn của trojan) cũng sẽ bị hủy bỏ hoàn toàn”.
Thật vậy, đã có là 5 nhóm key giải mã chính được những kẻ tấn công đính kèm trong repository, tương đương với hơn 750.000 key giải mã riêng lẻ cho các nạn nhân. Cùng với đó là tài liệu hướng dẫn chi tiết cách sử dụng key giải mã và liên kết đến chương trình giải mã của chúng.
Tuy nhiên, đánh giá ban đầu cho thấy việc sử dụng key giải mã là không hề đơn giản, và phần lớn người dùng phổ thông sẽ khó có thể tự mình giải mã tài liệu, cho dù có hướng dẫn tương đối chi tiết.
Để giải hỗ trợ các nạn nhân của Shade Ransomware, Kaspersky cho biết sẽ cập nhật công cụ giải mã ransomware RakhniDecryptor của mình để bao gồm các key này và giúp nạn nhân dễ dàng khôi phục dữ liệu của họ hoàn toàn miễn phí.
Nếu bạn cần tải key giải mã của Ransomware này thì có thể tải về tại đây: github.com/shade-team/keys