AstraLocker勒索组织关闭作业并发布解密工具

AstraLocker 勒索组织告诉安全媒体，他们正在关闭作业并转向加密劫持，并且还发布了解密工具。为了避免意外和麻烦，黑客将解密工具打包上传到了VT。安全媒体对内容进行下载并确认，可以成功解密近期的勒索软件。目前，尚不清楚AstraLocker 关闭背后的原因。

事件详情

AstraLocker 勒索软件背后的威胁参与者联系安全媒体，他们正在关闭该操作并计划转向加密劫持。勒索软件的开发者向VirusTotal 恶意软件分析平台提交了一个带有 AstraLocker 解密器的 ZIP 存档。安全媒体对该档案进行了下载，并确认解密器是合法的，黑客也信誓旦旦保证解密工具的可用性和安全性。

该压缩包包含很多个解密工具，安全研究人员对其中一个解密工具与最近的 AstroLocker 活动中加密的文件进行了测试后，发现它们可以正常工作。同时，安全研究人员猜测，压缩包的其他解密器可能对应不同版本的勒索软件，受害者可以备份好内容后一一进行测试。

黑客表示，有趣的事情总会在某个时候结束，并且还说组织迟早会回来的。虽然开发商没有透露 AstraLocker 关闭背后的原因，但很可能是因为最近的报道引起的突然宣传，执法部门会将该行动作为目标。

本来 Emsisoft 已经在做AstraLocker 勒索软件的解密工具了，这回倒是省事了。Emsisoft 是一家以帮助勒索软件受害者进行数据解密而闻名的软件公司。虽然它不会像我们希望的那样经常发生，但其他勒索软件组织已经向安全媒体和安全研究人员发布了解密密钥和解密器，作为关闭或发布新版本时的善意姿态。

过去发布的解密工具列表包括Avaddon、Ragnarok、  SynAck、TeslaCrypt、Crysis、AES-NI、Shade、FilesLocker、Ziggy和FonixLocker。AstraLocker 勒索软件和其他勒索软件不一样，AstraLocker 使用了一种有点非正统的加密受害者设备的方法。AstraLocker 的运营商不会首先破坏设备（通过黑客攻击或从其他威胁参与者那里购买访问权限），而是直接使用恶意 Microsoft Word 文档从电子邮件附件中部署有效负载。

据分析，AstraLocker 是基于泄露的 Babuk Locker (Babyk) 勒索软件源代码，这是一种 在 2021 年 9 月退出该领域的有缺陷但仍然很危险的病毒。此外，AstraLocker 勒索信中的一个门罗币钱包地址也与 Chaos 勒索软件的运营商有关。

防范勒索软件攻击的建议

1、多台电脑不要使用相同的账号和口令；

2、重要资料的共享文件夹要设置访问权限控制，并进行定期备份；

3、设置复杂的登录密码，密码要有足够的长度和复杂性，并定期更换账号密码。

4、定期检测系统和软件中的安全漏洞，及时打上补丁；

5、定期到服务器检查是否存在异常。查看范围包括：是否有新增账户； Guest是否被启用； Windows系统日志是否存在异常；杀毒软件是否存在异常拦截情况；

6、从正规渠道下载安装软件，对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行；

7、安装安全防护软件，并确保其正常运行。

勒索软件攻击是近年来网络攻击中比较常见的攻击方式，我们要提高网络安全意识，加强防护措施，定期检查服务器是否正常，定期对重要资料进行备份，并且使用复杂的密码，及时对计算机系统软件的安全漏洞进行升级修复，打好补丁。做好这些基本的防护工作，才能防范勒索软件的攻击。