El grupo de criminales informáticos detrás del ransomware Shade ha dejado de funcionar de forma oficial este último fin de semana.
Para demostrar que se trata de una decisión firme los hackers han publicado las más de 750 mil claves empleadas por su sistema de encriptado, así como también el software empleado para desencriptar los archivos, en el repositorio GitHub.
Los investigadores del laboratorio de seguridad informática de Kaspersky ya han confirmado que las claves publicadas son válidas, y se encuentran trabajando en una herramienta gratuita para la recuperación de archivos.
Motivos
El ransomware, si creemos los que los hackers afirman, dejó de ser distribuido a finales de 2019. Tres meses después la intención del grupo ha sido poner un punto final a sus actividades de forma pública.
“…Esperamos que, teniendo las claves, la compañía de antivirus, puedan crear sus propias herramientas de desencriptado más accesibles para los usuarios. Todo el resto de los datos relacionados con nuestra actividad (incluyendo el código fuente del troyano) ha sido irrevocablemente destruido. Nos disculpamos con la víctimas del troyano y esperamos que las claves que hemos publicado puedan ayudar a recuperar los datos”.
Shade es uno de los ransomware más antiguos en circulación, su primera aparición se registró en 2014. También ha sido uno de los más activos. Aunque varias firmas de seguridad han lanzado programas de recuperación de datos, solo han funcionado en una cantidad de casos limitados.
Solo por especular nos parece oportuno señalar que el fin de la distribución coincide con la expansión del coronavirus. Aún durante la pandemia algunas instituciones médicas y de ayuda humanitaria han sido atacadas con este tipo de malware. Es posible que los creadores de Shade hayan querido evitar quedar ligados a cualquiera de estas acciones, o simplemente la situación los haya impulsado a abandonar la actividad. O quizás alguno encontró un mejor trabajo.
La última alerta
Los hackers han advertido que el software publicado es señalado como peligroso por algunos de los antivirus dado que utiliza bloques de código que también están presentes en el software de encriptado.
Para evitar que se borren los archivos ejecutables se los ha subido en formato comprimido. La clave de los archivos zip es 123454321.
