据报道,勒索软件的开发人员在关闭其操作以转向加密劫持后,最近将解密器上传到了VirusTotal恶意软件分析平台。AstraLocker解密器和Yashma解密器加入了许多由新西兰公司Emsisoft免费提供的其他解密器。
“请务必先从您的系统中隔离恶意软件,否则它可能会反复锁定您的系统或加密文件,”阅读有关如何使用 AstraLocker 工具的指南(PDF)。
对于通过Windows远程桌面入侵的系统,建议用户更改所有允许远程登录的用户的密码,并检查本地用户帐户是否有攻击者可能添加的其他帐户。
默认情况下,AstraLocker解密器会预先填充从网络和连接的驱动器中选择用于解密的位置,但用户可以在启动解密过程之前添加其他位置。
解密器还默认保留加密文件,但如果磁盘空间存在问题,用户可以启用自动删除。
“由于勒索软件没有保存有关未加密文件的任何信息,因此解密器无法保证解密的数据与之前加密的数据相同,”该指南警告说。
根据ReversingLabs对后者泄露的源代码的分析,2021年出现的AstraLocker似乎建立在Babuk(或BabyK)之上,这是一种通过勒索软件即服务(RaaS)模型部署的变体。
使用修改后的HC-128加密算法和Curve25519加密函数对文件进行加密,并将.Astra或.babyk扩展名附加到加密文件中。
Yashma(或“AstraLocker 2.0”)利用AES-128和RSA-2048加密文件,并使用.AstraLocker扩展名或随机的四字符字母数字组合附加加密文件。
据ReversingLabs称,AstraLocker 2.0是通过恶意Microsoft Office文件到网络中的。
ReversingLabs的高级恶意软件研究员Joseph Edwards认为,这种“粉碎和抓取”攻击方法暗示了一个低技能的威胁行为者。
“这突显了在影响Babuk的代码泄露之后给组织带来的风险,因为大量低技能、高积极性的参与者利用泄露的代码进行自己的攻击。”
评论已关闭。