Σύμφωνα με το BleepingComputer, ο επιτιθέμενος που βρίσκεται πίσω από το AstraLocker ransomware αποφάσισε να τερματίσει την επιχείρησή του με σκοπό να στραφεί στο cryptojacking. Ο προγραμματιστής του ransomware υπέβαλε ένα αρχείο ZIP με εργαλεία αποκρυπτογράφησης για το AstraLocker ransomware στην πλατφόρμα ανάλυσης κακόβουλου λογισμικού VirusTotal.
Το BleepingComputer κατέβασε το εν λόγω αρχείο και επιβεβαίωσε ότι τα εργαλεία αποκρυπτογράφησης λειτουργούν σωστά. Συγκεκριμένα, δοκιμάστηκε ένα εργαλείο που αποκρυπτογράφησε επιτυχώς αρχεία που είχαν κλειδωθεί σε μία πρόσφατη καμπάνια, αλλά τα υπόλοιπα εργαλεία είναι πιθανό να έχουν σχεδιαστεί για να αποκρυπτογραφούν αρχεία από προηγούμενες επιθέσεις.
Δείτε επίσης: Υπάλληλος της HackerOne απέκτησε παράνομη πρόσβαση σε bug reports
“Ήταν διασκεδαστικό και τα διασκεδαστικά πράγματα τελειώνουν κάποτε. Κλείνω την επιχείρηση, τα εργαλεία αποκρυπτογράφησης είναι σε αρχεία zip. Θα επιστρέψω“, φέρεται να είπε ο προγραμματιστής του AstraLocker στο BleepingComputer. “Τελείωσα με το ransomware προς το παρόν. Θα πάω στο cryptojaking, lol“.
Ο προγραμματιστής δεν είπε περισσότερα σχετικά με την απόφασή του να σταματήσει τη λειτουργία του AstraLocker ransomware. Ωστόσο, πιθανότατα σχετίζεται με την ξαφνική δημοσιότητα που προέκυψε από πρόσφατες αναφορές, οι οποίες θα έβαζαν ενδεχομένως την επιχείρηση στο στόχαστρο των αρχών επιβολής του νόμου.
Τα τελευταία δύο χρόνια λόγω του COVID-19, όλοι ήταν περιορισμένοι στο σπίτι και βασίζονταν σε μεγάλο βαθμό στους υπολογιστές και το διαδίκτυο. Αυτό βοήθησε τους παράγοντες απειλών, συμπεριλαμβανομένων των ομάδων ransomware, να ενισχυθούν και να επιτεθούν σε ανυποψίαστους ανθρώπους και εταιρείες.
Όλα αυτά είχαν ως αποτέλεσμα ορισμένες ομάδες να χτυπήσουν εξέχουσες εταιρείες και κυβερνητικές υπηρεσίες, όπου ζητήθηκαν εκατομμύρια δολάρια ως λύτρα. Αυτό έκανε τις υπηρεσίες επιβολής του νόμου σε όλο τον κόσμο, να λάβουν δράση κατά των ομάδων ransomware, και μάλιστα συνέλαβαν και ορισμένους από τους χειριστές.
Δείτε επίσης: Βρετανικός στρατός: Παραβιάστηκαν οι λογαριασμοί του σε Twitter και YouTube
Αξίζει να σημειωθεί ότι και η Emsisoft εργάζεται επίσης για την κυκλοφορία ενός καθολικού εργαλείου αποκρυπτογράφησης για το ransomware AstraLocker. Η Emsisoft παρέχει συχνά βοήθεια σε θύματα ransomware.
Αν και δεν συμβαίνει πολύ συχνά, υπάρχουν κι άλλες ομάδες ransomware που έχουν κυκλοφορήσει εργαλεία αποκρυπτογράφησης, ως χειρονομία καλής θέλησης, κατά τον τερματισμό λειτουργίας ή την κυκλοφορία νέων εκδόσεων (π.χ. Avaddon, Ragnarok, SynAck, TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy και FonixLocker).
AstraLocker ransomware
Όπως αποκάλυψε πρόσφατα η εταιρεία ReversingLabs, το AstraLocker χρησιμοποιούσε μια ιδιαίτερη μέθοδο κρυπτογράφησης των συσκευών των θυμάτων της. Αντί να παραβιάσει πρώτα τη συσκευή (είτε με hacking είτε αγοράζοντας πρόσβαση από άλλους παράγοντες απειλών), ο χειριστής του AstraLocker ανέπτυσσε απευθείας τα payloads από συνημμένα email, χρησιμοποιώντας κακόβουλα έγγραφα του Microsoft Word.
Δείτε επίσης: Το δωρεάν εργαλείο ανίχνευσης stalkerware smartphone αποκτά ειδικό κέντρο
Πριν την κρυπτογράφηση των αρχείων στην παραβιασμένη πλέον συσκευή, το ransomware έλεγχε εάν εκτελούνταν σε μια εικονική μηχανή, διέκοπτε τα processes και σταματούσε τη δημιουργία αντιγράφων ασφαλείας και τις υπηρεσίες AV που θα παρεμπόδιζαν τη διαδικασία κρυπτογράφησης.
Πηγή: www.bleepingcomputer.com