Злоумышленник, стоящий за AstraLocker ransomware, сказал, что он «сворачивает» активные действия и больше не будет шифровать файлы и вымогать деньги у честных пользователей. В дальнейших планах — переход на криптоджекинг.
Разработчик программы-шифровальщика отправил ZIP-архив с дешифраторами AstraLocker на платформу анализа вредоносных программ VirusTotal.
Если вы каким-то образом попали «под раздачу» AstraLocker'a - вам следует обратиться в VIrusTotal и вам помогут с расшифровкой файлов
Специалисты уже опробовали файлы из архива и подтвердили, что дешифраторы действительно работают. Хотя ими был протестирован только один дешифратор, который успешно расшифровывал файлы, заблокированные в одной из кампании, другие ключи в архиве, вероятно, предназначены для расшифровки файлов, поврежденных в ходе других успешных операций AstraLocker.
«Это было весело, и забавные вещи всегда заканчиваются когда-нибудь. Я закрываю операцию, дешифраторы находятся в zip файлах.
Я вернусь», — сказал разработчик AstraLocker. «На данный момент я закончил с программами-вымогателями. Я иду в криптоджекинг, лол».
Разработчик не раскрыл причину закрытия проекта AstraLocker, но вероятно, это связано с тем, что обновленная версия AstroLocker 2.0 успела «наделать шума» в Сети. Операции с использованием модернизированной программы-вымогателя стали настолько успешными, что ими не преминули заинтересоваться правоохранительные органы.
Универсальный дешифратор для программ-вымогателей AstraLocker в настоящее время находится в разработке и будет выпущен под «лейблом» Emsisoft — компанией-разработчиком программного обеспечения, известной тем, что она помогает жертвам программ-вымогателей с расшифровкой данных.
Этот «жест доброй воли» не единичный и даже не первый в среде Gangsta-Ransomware. Хакеры и ранее передавали ключи-дешифраторы от своих программ-вымогателей широкой интернет-общественности.
Вот например список инструментов расшифровки, обнародованных в прошлом:
Avaddon, Ragnarok, SynAck, TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy и FonixLocker.
Присмотритесь к названиям, возможно стоит уже достать с дальней полки ноутбук, стряхнуть с него пыль и, обратившись на VirusTotal, расшифровать архив любимого немецкого кино...
Предыстория AstraLocker
Не так давно компания по изучению угроз ReversingLabs выяснила, что AstraLocker использовал несколько неортодоксальный метод шифрования устройств своих жертв по сравнению с другими штаммами вымогателей.
Вместо того, чтобы сначала компрометировать устройство (либо взломав его, либо купив доступ у других злоумышленников), оператор AstraLocker напрямую развертывал полезные данные из вложений электронной почты, используя вредоносные документы Microsoft Word.
Приманки, которые использовал в атаках AstroLocker, представляли собой документы, скрывающие объект OLE с полезной нагрузкой программы-вымогателя, которые разворачивались в системе после того, как целевой объект нажимал кнопку Выполнить в диалоговом окне предупреждения, отображаемом при открытии документа.
Прежде чем зашифровать файлы на скомпрометированном устройстве, вымогатель проверял, работает ли он на виртуальной машине, убивал процессы и останавливал службы резервного копирования и AV, которые могли препятствовать процессу шифрования.
ReversingLabs утверждают, что AstraLocker основан на просочившемся ранее исходном коде вымогателей Babuk Locker (Babyk), глючном, но все еще опасном штамме, который покинул кибер-пространство в сентябре 2021 года.
Кроме того, один из адресов кошелька Monero в записке о выкупе AstraLocker также был связан с операторами вымогателей Chaos.
