Un rançongiciel arrête son activité, s'excuse et donne les clés de déchiffrement aux victimes
Un rançongiciel vieux de plus de cinq ans part à la retraite.
Et ce n'est pas tout, ils se sont aussi assurés que le code de leur logiciel malveillant ne serait pas plus diffusé : « toutes les données liées à notre activité (y compris les codes sources de chevaux de Troie), ont été détruites de manière irrévocable. Nous présentons nos excuses aux victimes du cheval de Troie et nous espérons que les clés que nous avons publiées aideront à récupérer les données. »
750 000 clés, mais encore faut-il savoir les utiliser
Si l'opérateur publie gracieusement les clés de déchiffrement, encore faut-il avoir les compétences pour les utiliser, et sur ce point, les malfaiteurs n'hésitent pas à en appeler aux éditeurs d'antivirus : « Malheureusement, utiliser notre outil de déchiffrement n'est pas le plus simple, et les victimes pourraient avoir des soucis à le faire fonctionner correctement. Nous espérons qu'en disposant des clés, les entreprises d'antivirus publieront leurs propres outils de déchiffrement, plus faciles à utiliser. »
Les chercheurs de Kaspersky et de Intel Security avaient déjà dans le passé publié des applications de déchiffrement contre Shade. Ils ne fonctionnaient que sur un petit nombre de versions anciennes du rançongiciel, mais cela prouve qu'ils pourront certainement déchiffrer les bases de données des victimes grâce aux informations communiquées par les pirates.
En s'excusant, les opérateurs de Shade vont à contre-courant de la tendance globale du secteur des rançongiciels, qui tend plutôt vers l'escalade des menaces. Aujourd'hui des opérateurs comme Maze n'hésitent plus à publier les données de leurs victimes si elles ne paient pas, ou à supprimer leurs sauvegardes avant de porter la cyberattaque.
Shade visait principalement des organisations russes et ukrainiennes, et les motifs de cet arrêt d'activité sont pour l'instant inconnus.