La firma de seguridad cibernética Emsisoft ha lanzado herramientas de descifrado gratuitas para AstraLocker, una familia de ransomware de “aplastar y agarrar” que se retiró recientemente.

Visto inicialmente en 2021, AstraLocker es una bifurcación del ransomware Babuk, cuyo código fuente se filtró en línea en septiembre de 2021. Una segunda versión principal de AstraLocker apareció en marzo de 2022.

Lo que hizo que este ransomware se destacara entre la multitud fue el uso de una técnica de ataque “aplastar y agarrar”, en la que la carga útil maliciosa se eliminó directamente de los archivos adjuntos de correo electrónico, sin los típicos pasos intermedios y sin ningún reconocimiento previo al ataque.

Los atacantes utilizaron documentos de Microsoft Word como señuelos, con el ransomware incrustado como un objeto OLE, y pidieron a las posibles víctimas que hicieran varios clics adicionales para activar el malware.

Se vio que el ransomware mataba procesos que podrían interferir o con la operación de cifrado, y enumeraba todas las unidades y recursos compartidos de red para cifrar datos en ellos.

Durante el fin de semana del 4 de julio, el actor de amenazas detrás de AstraLocker anunció planes para cerrar la operación y también envió a VirusTotal un archivo que contiene descifradores para el malware.

Menos de una semana después, los investigadores de seguridad de Emsisoft lanzaron herramientas de descifrado gratuitas para ayudar a las víctimas del ransomware AstraLocker a recuperar sus datos.

“El descifrador AstraLocker es para el basado en Babuk que usa la extensión .Astra o .babyk, y lanzaron un total de 8 claves. El descifrador Yashma es para el basado en Chaos que usa .AstraLocker o un .[a-z0- aleatorio 9]{4} extensión, y lanzaron un total de 3 claves”, dijo Emsisoft.

El descifrador AstraLocker tiene como objetivo los archivos cifrados con la primera versión de AstraLocker, mientras que el descifrador Yashma tiene como objetivo los archivos cifrados con AstraLocker 2.0.

Emsisoft recomienda que el malware primero se ponga en cuarentena en el sistema, para evitar cualquier posible cifrado recurrente, y el uso de una herramienta antivirus que pueda detectar con éxito el ransomware AstraLocker.

“Si su sistema se vio comprometido a través de la función de escritorio remoto de Windows, también recomendamos cambiar todas las contraseñas de todos los usuarios que pueden iniciar sesión de forma remota y verificar las cuentas de usuario locales en busca de cuentas adicionales que el atacante podría haber agregado”, dijo la empresa.

fuente:securityweek.com