Tehdit aktörü, kripto hırsızlığına odaklanmak için kötü amaçlı yazılımı terk ettikten sonra şifre çözme anahtarlarını yayınladı
Kötü amaçlı yazılımdan korunma uzmanı Emsisoft, AstraLocker ve Yashma fidye yazılımı çeşitleri için ücretsiz şifre çözme araçları yayınladı.
Şifre çözücüler, fidye yazılımının geliştiricisi tarafından yakın zamanda VirusTotal kötü amaçlı yazılım analiz platformuna yüklendi. bildirildiğine göre Cryptojacking’e dönmek için operasyonlarını kapattılar.
bu AstraLocker şifre çözücü ve Yashma şifre çözücü bir ev sahibine katılmak diğer şifre çözücüler Yeni Zelanda merkezli bir şirket olan Emsisoft tarafından ücretsiz olarak kullanıma sunuldu.
şifre çözücüyü kullanma
“Öncelikle kötü amaçlı yazılımı sisteminizden karantinaya aldığınızdan emin olun, aksi takdirde art arda kilitlenebilir.
sisteminiz veya dosyalarınızı şifreleyin”, kılavuz (PDF) AstraLocker aracının nasıl kullanılacağı hakkında.
Güvenliği ihlal edilmiş sistemler için pencereler Uzak Masaüstü, kullanıcıların uzaktan oturum açmasına izin verilen tüm kullanıcıların parolalarını değiştirmeleri ve saldırganın eklemiş olabileceği ek hesaplar için yerel kullanıcı hesaplarını kontrol etmeleri önerilir.
En son fidye yazılımı haberlerini ve saldırılarını yakalayın
Varsayılan olarak, AstraLocker şifre çözücü, şifre çözme için seçilen konumları önceden doldurur. ağ ve bağlı sürücüler, ancak kullanıcılar şifre çözme işlemini başlatmadan önce başka konumlar ekleyebilir.
Şifre çözücü ayrıca varsayılan olarak şifreli dosyaları yerinde bırakır, ancak kullanıcılar disk alanı sorun olduğunda otomatik silmeyi etkinleştirebilir.
Kılavuz, “Fidye yazılımı şifrelenmemiş dosyalar hakkında herhangi bir bilgi kaydetmediğinden, şifre çözücü, şifresi çözülen verilerin daha önce şifrelenmiş olanla aynı olduğunu garanti edemez” diye uyarıyor.
BabyK yavruları
2021’de ortaya çıkan AstraLocker, görünüşe göre bir hizmet olarak fidye yazılımı (RaaS) modeli aracılığıyla dağıtılan bir varyant olan Babuk (veya BabyK) üzerine inşa edilmiş gibi görünüyor. ReversingLabs analizi İkincisinin sızdırılmış kaynak kodu.
Dosyalar, değiştirilmiş bir HC-128 kullanılarak şifrelenir şifreleme algoritması ve Curve25519 şifreleme işlevi ve/veya uzantıları şifrelenmiş dosyalara eklenir.
Yashma – veya ‘AstraLocker 2.0’ – dosyaları şifrelemek için AES-128 ve RSA-2048’den yararlanır ve uzantı veya rastgele dört karakterli alfasayısal kombinasyonla şifrelenmiş dosyaları ekler.
ReversingLabs’e göre, AstraLocker 2.0, kötü amaçlı yazılımlar aracılığıyla ağlara kaçırılıyor. Microsoft Ofis dosyaları.
ReversingLabs’ta kıdemli kötü amaçlı yazılım araştırmacısı Joseph Edwards, bu ‘parçala ve kap’ saldırı metodolojisinin düşük becerili bir tehdit aktörünü düşündürdüğünü savundu.
“Bu, düşük becerili, yüksek motivasyonlu büyük bir aktör popülasyonu, sızdırılan kodu kendi saldırılarında kullanmak için kullandığından, Babuk’u etkileyen bu tür kod sızıntılarının ardından kuruluşların maruz kaldığı riskin altını çiziyor.”