Un rançongiciel vieux de plus de cinq ans part à la retraite. Les développeurs de Shade — aussi connu sous les noms Troldelsh et Encoder.858 — ont officialisé l’arrêt de leur activité sur GitHub, dans un message repéré par le Bleeping Computer. Pour marquer le coup, ils ont publié plus de 750 000 clés de déchiffrements, utilisées pour lever la compromission des données des entreprises victimes.
Et ce n’est pas tout, ils se sont aussi assurés que le code de leur logiciel malveillant ne serait pas plus diffusé : « toutes les données liées à notre activité (y compris les codes sources de chevaux de Troie), ont été détruites de manière irrévocable. Nous présentons nos excuses aux victimes du cheval de Troie et nous espérons que les clés que nous avons publiées aideront à récupérer les données. »
750 000 clés, mais encore faut-il savoir les utiliser
Si l’opérateur publie gracieusement les clés de déchiffrement, encore faut-il avoir les compétences pour les utiliser, et sur ce point, les malfaiteurs n’hésitent pas à en appeler aux éditeurs d’antivirus : « Malheureusement, utiliser notre outil de déchiffrement n’est pas le plus simple, et les victimes pourraient avoir des soucis à le faire fonctionner correctement. Nous espérons qu’en disposant des clés, les entreprises d’antivirus publieront leurs propres outils de déchiffrement, plus faciles à utiliser. »
Les chercheurs de Kaspersky et de Intel Security avaient déjà dans le passé publié des applications de déchiffrement contre Shade. Ils ne fonctionnaient que sur un petit nombre de versions anciennes du rançongiciel, mais cela prouve qu’ils pourront certainement déchiffrer les bases de données des victimes grâce aux informations communiquées par les pirates.
La raison de l’arrêt d’activité est inconnue
En s’excusant, les opérateurs de Shade vont à contre-courant de la tendance globale du secteur des rançongiciels, qui tend plutôt vers l’escalade des menaces. Aujourd’hui des opérateurs comme Maze n’hésitent plus à publier les données de leurs victimes si elles ne paient pas, ou à supprimer leurs sauvegardes avant de porter la cyberattaque.
Shade visait principalement des organisations russes et ukrainiennes, et les motifs de cet arrêt d’activité sont pour l’instant inconnus.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !