【工具分享】AstraLocke勒索病毒解密工具

前言

ReversingLabs发现了AstraLocker勒索软件的新版本,该勒索软件直接从Microsoft Office文件中分发,用作网络钓鱼攻击的诱饵。分析表明,负责此活动的威胁行为者可能从 2021 年 9 月的 Babuk 勒索软件泄漏中获得了 AstraLocker 2.0 的底层代码。这两个活动之间的链接包括共享代码和活动标记,而列出用于支付赎金的门罗币钱包地址与 Chaos Ransomware 团伙有关

特征

AstraLocker样本隐藏在Microsoft Word文档中。执行恶意软件需要做一些工作:打开恶意 Word 附件的收件人需要多次额外点击才能激活嵌入式勒索软件。这是因为有效负载存储在 OLE 对象中;仅当用户双击文档中的图标并同意运行名为“WordDocumentDOC.exe:”的嵌入式可执行文件时,诱饵才会激活勒索软件。
毋庸置疑:需要如此多的用户交互会增加受害者对他们正在做的事情三思而后行的机会。这是 OLE 对象在恶意软件传递中使用较少的原因之一,与更流行的 VBA 宏感染方法相反,后者仅要求用户启用宏即可执行。

勒索信

【工具分享】AstraLocke勒索病毒解密工具
AstraLocker 显示以下赎金记录,与标准的 Babuk 勒索软件记录非常相似。然而,攻击者没有提供受害者的联系电子邮件,因此不清楚受害者的付款是如何进行的,或者是否是这样做的。

工具使用说明

重要提示:在执行以下操作之前,请务必先从系统中删除任何恶意软件,否则可能会导致系统反复锁定或文件加密。任何可靠的防病毒解决方案都可以帮助您完成这一步骤。
请注意:Rakhni会创建 exit.hhr.oshit 文件,其中包含用户文件的加密密码。如果保留了此文件在计算机上,则使用RakhniDecryptor工具解密速度将更快。如果文件已被删除,您可以使用文件恢复工具进行恢复。恢复文件后,请将其放入%APPDATA%目录中,然后再次运行扫描工具。
exit.hhr.oshit 文件的路径如下:
  • Windows XP:C:Documents and Settings<username>Application Data
  • Windows 7/8:C:Users<username>AppDataRoaming
要解密文件,请按以下步骤操作:

1.下载RakhniDecryptor.exe 文件。有关下载说明,请参考以下链接:

  • Windows 8 用户
  • Windows 7 用户
  • Windows Vista 用户

2.在受感染的计算机上运行RakhniDecryptor.exe 文件。

3.在 Kaspersky RakhniDecryptor 窗口中,单击“更改参数”链接。

【工具分享】AstraLocke勒索病毒解密工具

4.在“设置”窗口中,选择要扫描的对象(硬盘驱动器/可移动驱动器/网络驱动器)。

5.选中“解密后删除加密文件”复选框(该实用程序将删除扩展名为 .locked、.kraken 和 .darkness 的原始文件的副本)。

6.单击“确定”。

【工具分享】AstraLocke勒索病毒解密工具

7.在 Kaspersky RakhniDecryptor 中,单击“开始扫描”按钮。

【工具分享】AstraLocke勒索病毒解密工具

8.在指定加密文件路径中,选择需要还原的文件,然后单击“打开”。

  

工具下载地址

点击关注下方名片进入公众号

回复关键字【Astralocke】获取下载链接


更多资讯 扫码加入群组交流

【工具分享】AstraLocke勒索病毒解密工具


喜欢此内容的人还喜欢


【病毒分析】Lockbit家族Lockbit 3.0加密器分析

索勒安全团队


【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)

索勒安全团队

【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析

索勒安全团队

原文始发于微信公众号(solar专业应急响应团队):【工具分享】AstraLocke勒索病毒解密工具

版权声明:admin 发表于 2024年5月20日 上午10:24。
转载请注明:【工具分享】AstraLocke勒索病毒解密工具 | CTF导航

相关文章