Pelaku ancaman di balik ransomware AstraLocker yang kurang dikenal mengatakan kepada BleepingComputer bahwa mereka menghentikan operasi dan berencana untuk beralih ke cryptojacking.
Pengembang ransomware mengirimkan arsip ZIP dengan dekripsi AstraLocker ke platform analisis malware VirusTotal.
BleepingComputer mengunduh arsip dan mengonfirmasi bahwa decryptor itu sah dan berfungsi setelah menguji salah satunya terhadap file yang dienkripsi dalam kampanye AstroLocker baru-baru ini.
Meskipun kami hanya menguji satu decryptor yang berhasil mendekripsi file yang dikunci dalam satu kampanye, decryptor lain dalam arsip kemungkinan dirancang untuk mendekripsi file yang dienkripsi dalam kampanye sebelumnya.
Sementara pengembang tidak mengungkapkan alasan di balik penutupan AstraLocker, kemungkinan karena publisitas tiba-tiba yang dibawa oleh laporan baru-baru ini yang akan mendaratkan operasi di garis bidik penegakan hukum.
Decryptor universal untuk ransomware AstraLocker saat ini sedang dalam pengerjaan, yang akan dirilis di masa mendatang oleh Emsisoft, sebuah perusahaan perangkat lunak yang dikenal membantu korban ransomware dengan dekripsi data.
Meskipun tidak terjadi sesering yang kami inginkan, grup ransomware lain telah merilis kunci dekripsi dan dekripsi ke BleepingComputer dan peneliti keamanan sebagai isyarat niat baik saat mematikan atau merilis versi baru.
Seperti yang baru-baru ini diungkapkan oleh firma intelijen ancaman ReversingLabs, AstraLocker menggunakan metode yang agak tidak lazim untuk mengenkripsi perangkat korbannya dibandingkan dengan jenis ransomware lainnya.
Alih-alih mengkompromikan perangkat terlebih dahulu (baik dengan meretasnya atau membeli akses dari pelaku ancaman lainnya), operator AstraLocker akan langsung menyebarkan muatan dari lampiran email menggunakan dokumen Microsoft Word yang berbahaya.
Umpan yang digunakan dalam serangan AstroLocker adalah dokumen yang menyembunyikan objek OLE dengan muatan ransomware yang akan disebarkan setelah target mengklik Jalankan dalam dialog peringatan yang ditampilkan saat membuka dokumen.
Sebelum mengenkripsi file pada perangkat yang sekarang disusupi, ransomware akan memeriksa apakah itu berjalan di mesin virtual, mematikan proses dan menghentikan pencadangan dan layanan AV yang akan menghambat proses enkripsi.
Berdasarkan analisis ReversingLabs, AstraLocker didasarkan pada kode sumber ransomware Babuk Locker (Babyk) yang bocor, jenis buggy tetapi masih berbahaya yang keluar dari ruang angkasa pada September 2021.
Selain itu, salah satu alamat dompet Monero dalam catatan tebusan AstraLocker juga terkait dengan operator ransomware Chaos.
Sumber: Bleeping Computer
