Tool per decifrare il ransomware Shade

I ricercatori di Kaspersky hanno pubblicato un decryptor che può aiutare a recuperare i file cifrati da tutte le varietà del ransomware Shade/Troldesh.

Ricordate il ransomware Shade? Abbiamo scritto questo post perché non è più una minaccia ormai  e potrete riavere i vostri file, anche quelli cifrati dalle ultime versioni di Shade. Vediamo come è andata.

Cos’è il ransomware Shade?

Shade, conosciuto anche come Troldesh, è uno sgradevole cryptor che ha iniziato a diffondersi già nel 2015. Cifrava documenti di lavoro, immagini e archivi (così come alcuni altri tipi di file) e poi chiedeva alle vittime di pagare un riscatto per decifrarli (anche conosciuto come ransomware). Diverse varietà utilizzavano nomi di file di fantasia come breaking_bad e da_vinci_code. Shade, tra l’altro, portava con sé degli amici, scaricando altri malware dopo aver cifrato tutti i dati che voleva.

Nel 2016, i nostri analisti del malware sono riusciti a creare un decryptor per le differenti versioni di Shade che esistevano allora. La cooperazione tra la polizia, dopo aver sequestrato i server con le chiavi di cifratura, e i ricercatori della sicurezza, ha reso possibile questo importante traguardo.

Tuttavia, il gruppo di cybercriminali che ha creato Shade ha continuato a sviluppare nuovi ceppi di ransomware per i quali il decryptor non poteva far nulla. I cybecriminali hanno continuato a diffondere Shade, rimanendo molto attivi fino a metà del 2019.

Il gruppo responsabile di Shade

Ma poi le cose sono cambiate. Tra la fine del 2019 e l’inizio del 2020, il numero di utenti che si è imbattuto nel ransomware Shade è diminuito significativamente rispetto agli anni precedenti. Inoltre, i cybercriminali responsabili di questo ransomware hanno annunciato di aver deciso di gettare la spugna. Si sono persino scusati per i danni causati e hanno pubblicato circa 750.000 chiavi per decifrare i file.

Questo è un buon motivo per aggiornare il decryptor ed è quello che abbiamo fatto. Il nuovo decryptor di Shade è ora disponibile su noransom.kaspersky.com/it e può aiutare le persone a recuperare i loro file cifrati da Shade, indipendentemente dalla versione che li ha messi nei guai.

Ricordate, diciamo sempre che non dovreste pagare il riscatto anche se al momento non c’è un decryptor per recuperarli, perché alla fine verrà creato. Questo caso è un ottimo esempio del perché dovreste tenere i vostri file cifrati e aspettare, anche se siete stati colpiti da qualche altro tipo di ransomware: prima o poi si troverà il decryptor, come nel caso di Yatron y FortuneCrypt.

Uomo avvisato…

È un bene che tutte le vittime di Shade possano riavere i loro file. Tuttavia, sarebbe stato meglio non perderli affatto. Ecco quindi i nostri soliti tre consigli che vi aiuteranno a non essere vittime dei ransomware:

  • Effettuate regolarmente il backup dei vostri dati. Ecco come farlo correttamente;
  • Non cliccate su link sospetti e non aprite gli allegati alle e-mail da mittenti sconosciuti. In sostanza, usate il buon senso e imparate dagli errori. Una volta che si conoscono i soliti vettori di attacco, evitare minacce come Shade diventerà naturale;
  • Utilizzate una buona soluzione di sicurezza. Anche se pensate di essere davvero bravi a individuare le potenziali minacce, una soluzione di sicurezza affidabile vi aiuterà se in una remota occasione doveste sbagliarvi. È un po’ come la corda di sicurezza per il funambolo, meglio averla nonostante si sia sperimentato il rischio mille volte.
Consigli