Toutes les variantes du ransomware Shade déchiffrées

Les chercheurs de Kaspersky publient un outil de déchiffrement qui peut aider à récupérer les fichiers chiffrés par toutes les variantes du ransomware Shade/Troldesh.

Un outil de déchiffrement pour le ransomware Shade est désormais disponible

Vous vous souvenez du ransomware Shade ? Nous écrivons cet article parce qu’il ne constitue plus une menace, et que vous pouvez désormais récupérer vos fichiers, y compris ceux qui sont chiffrés par les dernières versions de Shade. Voyons comment cela s’est passé.

Qu’est-ce que le ransomware Shade ?

Shade, également connu sous le nom de Troldesh, est un chiffreur malveillant qui a commencé à se répandre en 2015. Il chiffrait les documents de bureau, les photos et les archives (ainsi que certains autres types de fichiers) et demandait ensuite aux victimes de payer pour le déchiffrement. Différentes variantes utilisaient des noms de fichiers fantaisistes tels que breaking_bad et da_vinci_code. Shade invitait également des amis – il téléchargeait d’autres logiciels malveillants après avoir chiffré tout ce qu’il voulait.

En 2016, nos analystes de malwares sont parvenus à créer un outil de déchiffrement pour les versions de Shade qui existaient à l’époque. La coopération entre la police, qui a saisi les serveurs avec les clés, et les chercheurs en sécurité, a rendu cela possible.

Cependant, le groupe qui se cache derrière Shade est resté intact et n’a cessé de développer de nouvelles variantes du ransomware que l’outil de déchiffrement ne pouvait pas résoudre. Les malfaiteurs ont continué à propager Shade, et sont restés très actifs jusqu’à la mi-2019.

Le groupe responsable de Shade

Les choses ont fini par changer. Fin 2019 et début 2020, le nombre d’utilisateurs ayant rencontré le ransomware Shade a chuté de manière significative par rapport aux années précédentes. Ensuite, les malfaiteurs à l’origine de celui-ci ont annoncé qu’ils avaient décidé de l’abandonner. Ils se sont même excusés pour les dommages qu’ils avaient causés et ont publié environ 750 000 clés permettant de déchiffrer les fichiers.

C’est une bonne raison pour mettre à jour notre outil de déchiffrement, et c’est exactement ce que nous avons fait. Le nouvel outil de déchiffrement Shade est désormais disponible sur noransom.kaspersky.com/fr/ et peut aider les personnes à récupérer leurs fichiers chiffrés par Shade, quelle que soit la version responsable.

N’oubliez pas que nous disons toujours qu’il ne faut pas payer la rançon, même s’il n’y a pas d’outil de déchiffrement pour récupérer les fichiers à ce moment précis : il finira par être créé. Ceci est l’exemple parfait puisqu’il vous montre pourquoi vous devriez conserver vos fichiers chiffrés et attendre, même si vous avez été touché par un autre type de ransomware. Un jour il y aura un outil de déchiffrement.

Mieux vaut prévenir que guérir

C’est une bonne nouvelle que toutes les victimes de Shade puissent désormais récupérer leurs fichiers. Cependant, il aurait été préférable pour elles de ne pas les perdre du tout. Voici donc nos trois conseils habituels qui vous aideront à ne pas être victime d’un ransomware.

  • Faites des sauvegardes régulières. Découvrez ici comment le faire correctement.
  • Ne cliquez pas sur les liens suspects et n’ouvrez pas les pièces jointes aux e-mails provenant d’expéditeurs inconnus. En résumé, faites preuve de bon sens et apprenez. Une fois que vous connaissez les vecteurs d’attaque habituels, éviter les menaces comme Shade devient une seconde nature.
  • Installez une bonne solution de sécurité. Même si vous pensez que vous êtes vraiment bon pour repérer les menaces potentielles, une solution de sécurité fiable vous aidera si une menace vous échappe une fois sur mille. C’est une sécurité, tout comme les funambules ont toujours cette corde de sécurité attachée, même s’ils ont déjà marché sur la même corde un millier de fois auparavant.
Conseils