Daha az bilinen Astralocker fidye yazılımının arkasındaki tehdit aktörü, BleepingComputer'a operasyonu kapattıklarını ve kriptajlamaya geçmeyi planladıklarını söyledi.
Ransomware'in geliştiricisi, Astralocker şifrelemeleri ile Virustotal kötü amaçlı yazılım analiz platformuna bir zip arşivi sundu.
BleepingComputer arşivi indirdi ve şifrelemelerin, yakın zamanda bir asstrolocker kampanyasında şifrelenmiş dosyalara karşı bunlardan birini test ettikten sonra meşru ve çalıştığını doğruladı.
Bir kampanyada kilitlenen dosyaları başarılı bir şekilde çözen bir şifreleme test ederken, arşivdeki diğer şifrelemeler, önceki kampanyalarda şifrelenmiş dosyaları şifresini çözmek için tasarlanmıştır.
Astralocker'ın geliştiricisi, "Bu eğlenceliydi ve eğlenceli şeyler her zaman bitiyor. Operasyonu kapatıyorum, şifrelemeler zip dosyalarında, temiz. Geri geleceğim." Dedi. "Şimdilik fidye yazılımı ile işim bitti. Cryptojaking lol'e gidiyorum."
Geliştirici, astralocker kapanmasının arkasındaki nedenini açıklamamış olsa da, muhtemelen operasyonu kolluk kuvvetlerinin artı işaretlerine getirecek son raporların getirdiği ani tanıtımdan kaynaklanıyor.
Astralocker fidye yazılımı için evrensel bir şifreleme şu anda, fidye yazılım kurbanlarına veri şifre çözme konusunda yardımcı olduğu bilinen bir yazılım şirketi olan Emsisoft tarafından yayınlanacak.
İstediğimiz sıklıkta olmasa da, diğer fidye yazılımı grupları, yeni sürümleri kapatırken veya yayınlarken iyi niyet jesti olarak BleepingComputer ve güvenlik araştırmacılarına şifre çözme anahtarları ve şifrelemeleri yayınladı.
Geçmişte yayınlanan şifre çözme araçlarının listesi Avaddon, Ragnarok, Synack, Teslacrypt, Crysis, AES-Ni, Gölge, Fileslocker, Ziggy ve Fonixlocker'ı içerir.
Tehdit istihbarat firması tersine döndüğü gibi, Astralocker, kurbanlarının cihazlarını diğer fidye yazılımı suşlarına kıyasla şifrelemek için biraz alışılmışın dışında bir yöntem kullandı.
Astralocker'ın operatörü, ilk olarak cihazı uzatmak yerine (ya onu hackleyerek veya diğer tehdit aktörlerinden erişim satın alarak), yükleri doğrudan Microsoft Word belgelerini kullanarak e -posta eklerinden doğrudan dağıtacaktır.
Astrolocker saldırılarında kullanılan yemler, belgeyi açarken görüntülenen uyarı iletişim kutusunda çalıştıktan sonra yönlendirilecek fidye yazılımı yükü ile bir OLE nesnesini gizleyen belgelerdir.
Dosyaları şimdi işbirliği içinde bulunan cihazda şifrelemeden önce, fidye yazılımı sanal bir makinede çalışıp çalışmadığını kontrol eder, işlemleri öldürür ve şifreleme işlemini engelleyecek yedekleme ve AV hizmetlerini durdurur.
ReversingLabs'ın analizine dayanarak, Astralocker, Eylül 2021'de alandan çıkan arabulu ama yine de tehlikeli bir zorlama olan sızdırılmış Babuk Locker (Baby) fidye yazılımı kaynak koduna dayanmaktadır.
Ek olarak, Astralocker'ın fidye notasındaki Monero cüzdan adreslerinden biri de Chaos Fidye yazılımı operatörleriyle bağlantılıydı.
Astralocker 2.0 kullanıcıları doğrudan kelime eklerinden bulaşır
Ransomware DeRryptor satmak için kullanılan Roblox Game Pass Mağazası
Fidye yazılımı, hackleme grupları kobalt grevinden kaba ratel'e geçiyor
Netwalker Fidye Yazılımı Satış Ortağı 80 ay hapis cezasına çarptırıldı
Ransomware'de Hafta - 1 Temmuz 2022 - Bug Bountries
Kaynak: Bleeping Computer