前言 ReversingLabs发现了AstraLocker勒索软件的新版本,该勒索软件直接从Microsoft Office文件中分发,用作网络钓鱼攻击的诱饵。分析表明,负责此活动的威胁行为者可能从 2021 年 9 月的 Babuk 勒索软件泄漏中获得了 AstraLocker 2.0 的底层代码。这两个活动之间的链接包括共享代码和活动标记,而列出用于支付赎金的门罗币钱包地址与 Chaos Ransomware 团伙有关
特征 AstraLocker样本隐藏在Microsoft Word文档中。执行恶意软件需要做一些工作:打开恶意 Word 附件的收件人需要多次额外点击才能激活嵌入式勒索软件。这是因为有效负载存储在 OLE 对象中;仅当用户双击文档中的图标并同意运行名为“WordDocumentDOC.exe:”的嵌入式可执行文件时,诱饵才会激活勒索软件。
毋庸置疑:需要如此多的用户交互会增加受害者对他们正在做的事情三思而后行的机会。这是 OLE 对象在恶意软件传递中使用较少的原因之一,与更流行的 VBA 宏感染方法相反,后者仅要求用户启用宏即可执行。
勒索信
AstraLocker 显示以下赎金记录,与标准的 Babuk 勒索软件记录非常相似。然而,攻击者没有提供受害者的联系电子邮件,因此不清楚受害者的付款是如何进行的,或者是否是这样做的。
工具使用说明 重要提示:在执行以下操作之前,请务必先从系统中删除任何恶意软件,否则可能会导致系统反复锁定或文件加密。任何可靠的防病毒解决方案都可以帮助您完成这一步骤。
请注意:Rakhni会创建 exit.hhr.oshit 文件,其中包含用户文件的加密密码。如果保留了此文件在计算机上,则使用RakhniDecryptor工具解密速度将更快。如果文件已被删除,您可以使用文件恢复工具进行恢复。恢复文件后,请将其放入%APPDATA%目录中,然后再次运行扫描工具。
Windows XP:C:Documents and Settings<username>Application Data
Windows 7/8:C:Users<username>AppDataRoaming
1.下载RakhniDecryptor.exe 文件。有关下载说明,请参考以下链接:
2.在受感染的计算机上运行RakhniDecryptor.exe 文件。
3.在 Kaspersky RakhniDecryptor 窗口中,单击“更改参数”链接。
4.在“设置”窗口中,选择要扫描的对象(硬盘驱动器/可移动驱动器/网络驱动器)。
5.选中“解密后删除加密文件”复选框(该实用程序将删除扩展名为 .locked、.kraken 和 .darkness 的原始文件的副本)。
6.单击“确定”。
7.在 Kaspersky RakhniDecryptor 中,单击“开始扫描”按钮。
8.在指定加密文件路径中,选择需要还原的文件,然后单击“打开”。
工具下载地址
点击关注下方名片 进入公众号
回复关键字【 Astralocke 】获取 下载链接
更多资讯 扫码加入群组交流
原文始发于微信公众号(solar专业应急响应团队):【工具分享】AstraLocke勒索病毒解密工具
