Le groupe de cyberpirates Troldesh (aka Encoder.858) à l’origine du rançongiciel Shade a stoppé ses activités et publier 750 000 clés de déchiffrement permettant aux entreprises touchées de retrouver leurs données. Ce groupe, qui officiait depuis 6 ans, s’est même fendu d’excuses pour la gêne occasionnée.
Les entreprises pressées de récupérer leurs données chiffrées par Shame devront sans doute patienter un peu tant l’outil de décryptage proposé par le groupe de pirates Troldesh est peu facile à prendre en mains. (crédit : DR)
C’est une information peu banale, confirmée par Kaspersky Labs, qui a été diffusée par le groupe de pirates à l’origine du ransomware Shade. Sévissant depuis 6 ans, ce gang dénommé Troldesh (aka Encoder.858) a en effet indiqué avoir arrêté la distribution de son rançongiciel depuis fin 2019 et publié 750 000 clés de déchiffrement permettant aux entreprises touchées par ce malware de récupérer leurs fichiers séquestrés. « Nous publions également notre logiciel de décryptage ; nous espérons également qu’avec les clés, les sociétés antivirus publieront leurs propres outils de décryptage plus conviviaux. Toutes les autres données liées à notre activité (y compris les codes sources du cheval de Troie) ont été irrévocablement détruites. Nous nous excusons auprès de toutes les victimes du cheval de Troie et espérons que les clés que nous avons publiées les aideront à récupérer leurs données », ont fait savoir les pirates repentis sur GitHub.
Comme l’indique le groupe de pirates, l’outil de déchiffrement qu’il fourni n’est pas très intuitif et même plutôt difficile à utiliser dans la pratique. L’éditeur Kaspersky a indiqué qu’il allait mettre prochainement à jour son outil RakhniDecrytor pour inclure ces clés de déchiffrement et permettre aux entreprises concernées de retrouver leurs données gratuitement. D’autres éditeurs antivirus proposeront certainement également leur outil et il faudra aussi regarder du côté du service nomoreransom.org pour être délivré.