Enhver daglig brug, som vi giver vores computer, er ikke fritaget for at blive inficeret med alle former for vira eller malware. Selv en daglig opgave som at åbne Word-dokumenter kan ende med at give os alvorlige komplikationer.
Heldigvis gør den måde, denne AstraLocker 2.0 malware fungerer på, det nemt at forhindre ... hvis du ved hvordan.
Farlig, men med lav risiko for svie
Selvom faren for at blive inficeret med denne AstraLocker 2.0 er høj, kræver den også en høj hastighed af brugerinteraktion, hvilket øger chancerne for, at ofrene vil tænke sig om to gange, før de udfører den, samt at angriberen viser et lavt niveau af færdigheder, ifølge til ReversingLabs .
inficeret dokument
Driften af denne malware er tæt relateret til Babuk ransomware. Faktisk menes det baseret på kodeanalyse fra ReversingLabs, at denne version af AstraLocker er baseret på den lækkede kildekode fra Babuk, en buggy, men stadig farlig ransomware-stamme, der udkom i september 2021.
AstraLocker 2.0 fungerer ved distribution som vedhæftede filer i microsoft Ord. Et OLE-objekt (Object Linking and Embedding) vises i et dokument. Hvis brugeren dobbeltklikker på ikonet for dette indlejrede dokument i et andet dokument, vil et installationsprogram kaldet WordDocumentDOC.exe blive forsøgt at køre. Hvis denne programkørsel accepteres, vil malwaren formår at kryptere alle brugerens data og umuliggøre regelmæssig brug af enheden.
Sådan gendannes dine filer fra denne malware
I tilfælde af en vellykket infektion, noget ekstremt kompliceret på grund af antallet af mistænkelige trin, der skal udføres, skal du bruge et værktøj til at dekryptere dataene igen. Det er her, malware-forfatterne forsøger at tjene penge og bede om en betaling på 50 dollars, der skal betales i XMR (Monero) eller Bitcoin-mønter for at give dig dekrypteringsværktøjet. Ofre, der betaler med Bitcoins, skal sende transaktions-id'et til astralocker2@tutanota.com. Løsesedlen siger også, at der ikke er nogen anden måde at dekryptere filer på.
AstraLocker 2.0 løsesum note
I tilfælde af at blive smittet, AstraLocker 2.0 krypterer filerne og tilføjer filtypenavnet ".AstraLocker" eller ".Astra" (afhængigt af varianten) til filnavnene. Desuden opretter det "Recover_Your_Files.html" fil, som indeholder løsesum note. Ifølge nævnte løsesumseddel vil omdøbning af filer for at ændre deres udvidelser skade dem permanent.
Et eksempel på, hvordan AstraLocker 2.0 omdøber filer: Omdøb "1.jpg" til "1.jpg.Astra" eller "1.jpg.AstraLocker", "2.png" til "2.png. Astra" eller "2.png.AstraLocker" og så videre. At prøve at slette det nye ord fra udvidelsen eliminerer faktisk ikke problemet, så den inficerede ender med at skulle betale.
