Die Betreiber der Ransomware-Kampagne Shade hätten mit ihrem Infektionsaufkommen recht stattliche Summen Lösegeld erpressen können. Doch völlig unerwartet gab die Gruppe auf und stellte riesige Mengen an Entschlüsselungs-Keys frei ins Netz.
Die Malware hinter der Kampagne ist unter Namen wie Shade, Troldesh und Encoder.858 bekannt. Bereits Ende letzten Jahres haben die Betreiber die Verbreitung des Schädlings eingestellt. Wie sie nun auf einem eigenen GitHub-Account mitteilten, gehe man nun auch den letzten Schritt und veröffentliche die Schlüssel, die die Opfer zur Wiederherstellung ihrer Daten benötigen.
Die Liste umfasst dabei satte 750.000 Einträge. Da die Keys erst generiert werden, wenn die Malware die Daten auf einem PC verschlüsselt, kann man hier davon ausgehen, dass auch wirklich jeder Key einen infizierten Rechner repräsentiert. Tests durch die Sicherheits-Forscher bei Kaspersky ergaben außerdem, dass es sich wirklich um passende Schlüssel handelt. Test-Infektionen konnten mit den Keys wiederhergestellt werden. Um den Einsatz der Daten zu erleichtern, will Kaspersky in Kürze eine Applikation bereitstellen, mit der Nutzer die Dekodierung automatisiert vornehmen lassen können.
Späte Reue?
Bei den Betreibern der Kampagne scheint zwar spät, aber immerhin, so etwas wie Reue eingekehrt zu sein. Immerhin baten sie in ihrer Stellungnahme ausdrücklich um Verzeihung und erklärten, dass sie hoffen, die Keys würden helfen, alle Daten wiederzuerlangen. Darüber hinaus wurde klargestellt, dass alle weitergehenden Daten wie etwa der Source-Code des Trojaners unwiederbringlich gelöscht worden seien.
Über die Hintergründe lässt sich im Grunde nichts sagen. Es kann natürlich sein, dass die Täter durch ein besonderes Schicksal einer betroffenen Person doch noch ein schlechtes Gewissen bekamen. Oder sie bekamen kalte Füße, weil ihnen Strafverfolger auf der Spur sind - und man hofft, dass das Interesse der Behörden nach solch einer Abschaltung der Kampagne bald erlischt.
Quelle; winfuture
Die Malware hinter der Kampagne ist unter Namen wie Shade, Troldesh und Encoder.858 bekannt. Bereits Ende letzten Jahres haben die Betreiber die Verbreitung des Schädlings eingestellt. Wie sie nun auf einem eigenen GitHub-Account mitteilten, gehe man nun auch den letzten Schritt und veröffentliche die Schlüssel, die die Opfer zur Wiederherstellung ihrer Daten benötigen.
Die Liste umfasst dabei satte 750.000 Einträge. Da die Keys erst generiert werden, wenn die Malware die Daten auf einem PC verschlüsselt, kann man hier davon ausgehen, dass auch wirklich jeder Key einen infizierten Rechner repräsentiert. Tests durch die Sicherheits-Forscher bei Kaspersky ergaben außerdem, dass es sich wirklich um passende Schlüssel handelt. Test-Infektionen konnten mit den Keys wiederhergestellt werden. Um den Einsatz der Daten zu erleichtern, will Kaspersky in Kürze eine Applikation bereitstellen, mit der Nutzer die Dekodierung automatisiert vornehmen lassen können.
Späte Reue?
Bei den Betreibern der Kampagne scheint zwar spät, aber immerhin, so etwas wie Reue eingekehrt zu sein. Immerhin baten sie in ihrer Stellungnahme ausdrücklich um Verzeihung und erklärten, dass sie hoffen, die Keys würden helfen, alle Daten wiederzuerlangen. Darüber hinaus wurde klargestellt, dass alle weitergehenden Daten wie etwa der Source-Code des Trojaners unwiederbringlich gelöscht worden seien.
Über die Hintergründe lässt sich im Grunde nichts sagen. Es kann natürlich sein, dass die Täter durch ein besonderes Schicksal einer betroffenen Person doch noch ein schlechtes Gewissen bekamen. Oder sie bekamen kalte Füße, weil ihnen Strafverfolger auf der Spur sind - und man hofft, dass das Interesse der Behörden nach solch einer Abschaltung der Kampagne bald erlischt.
Quelle; winfuture