威胁参与者在放弃恶意软件以专注于隐脚夹后发布了解密键
恶意软件专家Emsisoft已为Astralocker和Yashma勒索软件变体发布了免费的解密工具。
勒索软件的开发人员最近将解密者上传到Virustotal恶意软件分析平台后据说关闭他们的操作,以便透视加密夹。
这Astralocker解密和Yashma解密加入其他解密者由新西兰的服装Emsisoft免费提供。
使用解密者
“请确保首先从系统中隔离恶意软件,否则可能会反复锁定
您的系统或加密文件。”指导(PDF)如何使用Astralocker工具。
对于通过视窗远程桌面,建议用户更改允许远程登录的所有用户的密码,并检查本地用户帐户以获取攻击者可能添加的其他帐户。
默认情况下,Astralocker解密了预填充的位置网络和连接的驱动器,但是用户可以在启动解密过程之前添加其他位置。
解密者还默认将加密文件留在适当的位置,尽管如果用户可以在磁盘空间是问题的情况下启用自动删除。
该指南警告说:“由于勒索软件没有保存有关未加密文件的任何信息,因此解密者无法保证解密的数据与以前已加密的数据相同。”
Babyk后代
Astralocker于2021年出现,似乎是在Babuk(或Babyk)上建造的,Babuk(或Babyk)是通过勒索软件即服务(RAAS)模型部署的变体。ReversingLabs分析后者泄漏的源代码。
文件使用修改后的HC-128加密加密算法和曲线25519加密功能,以及.ASTRA或者.babyk扩展名附加到加密文件。
YASHMA - 或“ Astralocker 2.0” - 利用AES-128和RSA-2048来加密文件,并将其加密文件加密文件.ASTRALACKER扩展或随机四个字母字母数字组合。
根据ReversingLabs的说法,Astralocker 2.0通过恶意走私到网络中微软办公文件。
ReversingLabs的高级恶意软件研究员约瑟夫·爱德华兹(Joseph Edwards)认为,这种“粉碎和抢”攻击方法暗示了一个低技能威胁的演员。
“这强调了在影响巴布克的代码泄漏之后,对组织构成的风险,因为大量的低技能,高动画参与者利用了泄漏的代码以在其自身的攻击中使用。”
