باج افزار AstraLocker فعالیت خود را کنار گذاشت و رمزگشای خود را منتشر کرد.

باج افزار AstraLocker فعالیت خود را کنار گذاشت و رمزگشای خود را منتشر کرد.

مجرمان امنیتی مسئول باج افزار کمتر شناخته شده AstraLocker اعلام کرده اند که فعالیت باج افزارشان را متوقف و به کریپتوجکینگ رو خواهند آورد.

مجرمان امنیتی مسئول باج افزار کمتر شناخته شده AstraLocker، اعلام کرده اند که فعالیت باج افزارشان را متوقف و به کریپتوجکینگ رو خواهند آورد.
توسعه دهندگان باج افزار، یک آرشیو زیپ با رمزگشای AstraLocker را در پلتفرم آنالیز بدافزار VirusTotal ارسال کرده اند.
BleepingComputer آرشیو را دانلود کرده و تایید کرده که رمزگشا ها معتبر هستند و در تست برای یکی از فایل های قفل گذاری شده در حمله اخیر AstraLocker کار میکند.
در حالی که ما یک فقط یک رمزگشا تست کردیم که به صورت موفقیت آمیز فایل های قفل شده در یک کمپین را  رمزگشایی کرد، دیگر رمزگشا ها در آرشیو احتمالا طوری طراحی شده اند که فایل های رمزگذاری شده در کمپین های قبلی را رمزگشایی کنند.

باج افزار AstraLocker

توسعه دهنده ی AstraLocker : " این تجربه ی جالبی بود و چیز های جالب همیشه پایان میپذیرند. من این عملیات را میبندم، رمزگشا ها در فایل زیپ هستند. من برمیگردم. من کارم در حاضر با باج افزار ها تمام شده است. من شروع به کریپتوجکینگ خواهم کرد  لول."
در حالی که توسعه دهندگان علت متوقف کردن AstraLocker را اعلام نمیکنند، ممکن است علت آن اطلاعات عمومی باشد که توسط گزارش های اخیر منتشر شده اند که عملیات ها میتوانند به نهاد های قانونی بیانجامد.

باج افزار AstraLocker

یک رمزگشای کلی برای باج افزار AstraLocker که فعلا در حال کار بر روی آن هستند، درآینده توسط Emsisoft منتشر خواهد شد، یک شرکت که به کمک قربانیان باج افزار برای اطلاعات رمز گذاری شده شناخته شده است.
در حالی که این اتفاق به صورت معمول اتفاق نمی افتد، دیگر گروه های باج افزاری نیز کلید های رمزگشا و رمزگشا ها را برای BleepingComputer و دیگر محقق های امنیتی، به عنوان یک ژست خوب هنگامی که فعالیتشان را متوقف یا قبل از انتشار نسخه جدید ارسال میکنند.
لیست ابزار های رمزگشا که در گذشته منتشر شده اند شامل : Avaddon, Ragnarok, SynAck, TelsaCrypt, Crysis, AES-NI, Shade, FileLocker, Ziggy و FonixLocker میشوند.
پس زمینه ی باج افزاری AstraLocker
به عنوان شرکت threat intelligence، شرکت ReversingLabs اخیرا افشا کرده است AstraLocker از یک روش غیر معمول برای رمزگذاری دستگاه های قربانیان نسبت به باج افزار های دیگر استفاده کرده است.
به جای ابتدا نفوذ کردن به دستگاه ( یا از طریق هک یا خریدن دسترسی از هکر های دیگر )، مسئول AstraLocker به صورت مستقیم پیلود ها را از طریق اتچ های ایمیل ( داکیومنت های آلوده Word ) دپلوی میکند.
فریبی که در حملات AstroLocker استفاده میشد پنهان سازی یک OLE با پیلود های باج افزاری در داکیومنت ها است که پس از کلیک بر روی اجرا در صفحه ی هشدار هنگام باز کردن داکیومنت دپلوی میشود.

باج افزار AstraLocker

قبل از رمز گذاری فایل های بر روی دستگاه های تازه مورد نفوذ قرار گرفته، باج افزار چک میکند که اگر بر روی یک ماشین مجازی در حال اجرا است، پروسس را kill کند و از بک آپ و سرویس AV جلوگیری کند که مانع از پروسه ی رمز گذاری میشوند.
بر اساس آنالیز های ReveseLabs، AstraLocker براساس سورس کد باج افزار Babuk Locker لو رفته است ( Babyk ).
در اضافه، یکی از آدرس کیف پول های Monero که در نوت باج AstraLocker بوده با یکی از عملیات های باج افزاری Chaos در ارتباط بوده است.

منبع : www.bleepingcomputer.com