DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Nhóm tin tặc phát triển Troldesh/Shade ransomware công bố khóa giải mã
Troldesh ransomware (còn được gọi là Shade hoặc Encoder.858) xuất hiện từ năm 2014, đã dần giảm hoạt động kể từ cuối năm 2019. Ransomware này có nguồn gốc từ Nga nhưng không lây nhiễm người dùng ở Nga mà lan rộng khắp thế giới. Nếu các file của bạn có phần mở rộng như dưới đây, có nghĩa máy tính của bạn đã nhiễm ransomware này:
Các tin tặc tạo ra ransomware này cho biết kể từ cuối năm ngoái, hoạt động của ransomware đã giảm dần. Nhóm cũng tuyên bố sẽ không tiếp tục phát triển và duy trì ransomware này nữa.
Theo Tài khoản Github có tên ShadowTeam, nhóm đã công khai 750.000 khóa giải mã cho các biến thể của ransomware này. Đồng thời, tài khoản cũng xin lỗi các nạn nhân bị lây nhiễm. Người dùng bị ảnh hưởng có thể sử dụng khóa giải mã để khôi phục các tệp bị mã hóa trước đó.
Nhóm hacker hy vọng các nhà phát triển phần mềm bảo mật có thể sử dụng các khóa này để phát triển công cụ giải mã, giúp các nạn nhân giải mã các file dễ dàng hơn thông qua công cụ giải mã.
Mặc dù nhóm tin tặc không tiết lộ số lượng nạn nhân bị ransomware lây nhiễm, nhưng xét các khóa giải mã, ước tính đã có hơn một triệu nạn nhân trong những năm gần đây.
Công cụ giải mã do hacker cung cấp đơn giản nhưng rất khó sử dụng, nguyên nhân chính là ransomware này không sử dụng khóa giải mã thống nhất.
Tuy nhiên, Kaspersky đã xác nhận các khóa này là hợp lệ, vì vậy công ty đang phát triển một công cụ giải mã để người dùng dễ dàng giải mã. Thời gian phát hành cụ thể tạm thời chưa được xác định.
Do đó, ở giai đoạn này, mình chỉ có thể nhắc nhở rằng nếu bạn vô tình bị nhiễm ransomware Troldesh/Shade, đừng vội cài đặt lại hệ thống và xóa các file bị mã hóa.
Sau khi các công ty bảo mật lớn phát triển các công cụ giải mã đặc biệt dựa trên các khóa giải mã, sử dụng các công cụ giải mã này để giải mã các file trực tiếp sẽ dễ dàng hơn nhiều.
Mã:
.xtbl .no_more_ransom .da_vinci_code
.ytbl .crypted000007 .rsa3072
.breaking_bad .crypted000078 .decrypt_it .tyson
.heisenberg .magic_software_syndicate .windows10
.better_call_saul .The chickens .windows8Các tin tặc tạo ra ransomware này cho biết kể từ cuối năm ngoái, hoạt động của ransomware đã giảm dần. Nhóm cũng tuyên bố sẽ không tiếp tục phát triển và duy trì ransomware này nữa.
Theo Tài khoản Github có tên ShadowTeam, nhóm đã công khai 750.000 khóa giải mã cho các biến thể của ransomware này. Đồng thời, tài khoản cũng xin lỗi các nạn nhân bị lây nhiễm. Người dùng bị ảnh hưởng có thể sử dụng khóa giải mã để khôi phục các tệp bị mã hóa trước đó.
Nhóm hacker hy vọng các nhà phát triển phần mềm bảo mật có thể sử dụng các khóa này để phát triển công cụ giải mã, giúp các nạn nhân giải mã các file dễ dàng hơn thông qua công cụ giải mã.
Mặc dù nhóm tin tặc không tiết lộ số lượng nạn nhân bị ransomware lây nhiễm, nhưng xét các khóa giải mã, ước tính đã có hơn một triệu nạn nhân trong những năm gần đây.
Công cụ giải mã do hacker cung cấp đơn giản nhưng rất khó sử dụng, nguyên nhân chính là ransomware này không sử dụng khóa giải mã thống nhất.
Tuy nhiên, Kaspersky đã xác nhận các khóa này là hợp lệ, vì vậy công ty đang phát triển một công cụ giải mã để người dùng dễ dàng giải mã. Thời gian phát hành cụ thể tạm thời chưa được xác định.
Do đó, ở giai đoạn này, mình chỉ có thể nhắc nhở rằng nếu bạn vô tình bị nhiễm ransomware Troldesh/Shade, đừng vội cài đặt lại hệ thống và xóa các file bị mã hóa.
Sau khi các công ty bảo mật lớn phát triển các công cụ giải mã đặc biệt dựa trên các khóa giải mã, sử dụng các công cụ giải mã này để giải mã các file trực tiếp sẽ dễ dàng hơn nhiều.