Bất kỳ hoạt động sử dụng hàng ngày nào mà chúng tôi cung cấp cho máy tính của mình đều không được miễn trừ việc bị nhiễm tất cả các loại vi rút hoặc phần mềm độc hại. Ngay cả một tác vụ hàng ngày như mở tài liệu Word cũng có thể mang lại cho chúng ta những phức tạp nghiêm trọng.
May mắn thay, cách thức hoạt động của phần mềm độc hại AstraLocker 2.0 này giúp bạn dễ dàng ngăn chặn… nếu bạn biết cách.
Nguy hiểm nhưng ít có khả năng bị châm chích
Mặc dù nguy cơ bị nhiễm AstraLocker 2.0 này là cao, nhưng nó cũng đòi hỏi tỷ lệ tương tác của người dùng cao, điều này làm tăng khả năng nạn nhân sẽ suy nghĩ kỹ trước khi thực hiện nó, cũng như thể hiện kỹ năng cấp thấp của kẻ tấn công, theo đến ReversingLabs .
tài liệu bị nhiễm
Hoạt động của phần mềm độc hại này có liên quan mật thiết đến phần mềm tống tiền Babuk. Trên thực tế, dựa trên phân tích mã của ReversingLabs, người ta tin rằng phiên bản AstraLocker này dựa trên mã nguồn bị rò rỉ của Babuk, một chủng ransomware có lỗi nhưng vẫn nguy hiểm ra mắt vào tháng 2021 năm XNUMX.
AstraLocker 2.0 hoạt động bằng cách phân phối dưới dạng tệp đính kèm trong microsoft Từ. Đối tượng OLE (Liên kết và Nhúng đối tượng) xuất hiện trong tài liệu. Nếu người dùng bấm đúp vào biểu tượng của tài liệu nhúng này trong một tài liệu khác, thì một trình cài đặt có tên WordDocumentDOC.exe sẽ cố chạy. Nếu việc thực thi chương trình này được chấp nhận, phần mềm độc hại sẽ quản lý để mã hóa tất cả dữ liệu của người dùng và khiến việc sử dụng thiết bị thường xuyên là không thể.
Cách khôi phục tệp của bạn khỏi phần mềm độc hại này
Trong trường hợp lây nhiễm thành công, một thứ gì đó cực kỳ phức tạp do số lượng các bước đáng ngờ được thực hiện, bạn sẽ cần một công cụ để giải mã dữ liệu một lần nữa. Đây là nơi mà các tác giả phần mềm độc hại cố gắng rút tiền mặt và yêu cầu thanh toán 50 đô la được trả bằng đồng XMR (Monero) hoặc Bitcoin để cung cấp cho bạn công cụ giải mã. Nạn nhân thanh toán bằng Bitcoin nên gửi ID giao dịch đến astralocker2@tutanota.com. Thông báo đòi tiền chuộc cũng nói rằng không có cách nào khác để giải mã các tập tin.
Lưu ý về tiền chuộc của AstraLocker 2.0
Trong trường hợp bị nhiễm, AstraLocker 2.0 mã hóa các tệp và thêm phần mở rộng “.AstraLocker” hoặc “.Astra” (tùy thuộc vào biến thể) vào tên tệp. Hơn nữa, nó tạo ra tệp “Recover_Your_Files.html” trong đó có ghi chú tiền chuộc. Theo ghi chú tiền chuộc cho biết, việc đổi tên tệp để thay đổi phần mở rộng của chúng sẽ làm hỏng chúng vĩnh viễn.
Ví dụ về cách AstraLocker 2.0 đổi tên tệp: Đổi tên “1.jpg” thành “1.jpg.Astra” hoặc “1.jpg.AstraLocker”, “2.png” thành “2.png. Astra ”hoặc“ 2.png.AstraLocker ”, v.v. Thật vậy, cố gắng xóa từ mới khỏi tiện ích mở rộng không loại bỏ được vấn đề, vì vậy cuối cùng người bị nhiễm cần phải kiểm tra.
