L’autore della minaccia dietro il meno noto ransomware AstraLocker ha detto a BleepingComputer che stanno interrompendo l’operazione e pianificano di passare al cryptojacking.

Lo sviluppatore del ransomware ha inviato un archivio ZIP con i decryptor AstraLocker alla piattaforma di analisi del malware VirusTotal.

BleepingComputer ha scaricato l’archivio e ha confermato che i decryptor sono legittimi e funzionanti dopo aver testato uno di essi contro i file crittografati in una recente campagna di AstroLocker .

Mentre abbiamo testato solo un decryptor che ha decifrato con successo i file bloccati in una campagna, è probabile che altri decryptor nell’archivio siano progettati per decrittografare i file crittografati nelle campagne precedenti.

“È stato divertente e le cose divertenti finiscono sempre prima o poi. Chiudo l’operazione, i decryptor sono in file zip, puliti. Tornerò”, ha detto lo sviluppatore di AstraLocker. “Per ora ho chiuso con il ransomware. Passo al cryptojaking lol.”

Sebbene lo sviluppatore non abbia rivelato il motivo alla base della chiusura di AstraLocker, è probabile che sia dovuto all’improvvisa pubblicità portata da recenti rapporti che porterebbero l’operazione nel mirino delle forze dell’ordine.

È attualmente in lavorazione un decryptor universale per il ransomware AstraLocker, che sarà rilasciato in futuro da Emsisoft, una società di software nota per aiutare le vittime del ransomware con la decrittazione dei dati.

Sebbene non accada tutte le volte che vorremmo, altri gruppi di ransomware hanno rilasciato chiavi di decrittazione e decryptor a BleepingComputer e ai ricercatori di sicurezza come gesto di buona volontà quando chiudono o rilasciano nuove versioni.

L’elenco degli strumenti di decrittazione rilasciati in passato include Avaddon , Ragnarok ,  SynAck , TeslaCrypt , Crysis , AES-NI , Shade , FilesLocker , Ziggy e FonixLocker .

Sfondo del ransomware AstraLocker

Come recentemente rivelato dalla società di intelligence sulle minacce ReversingLabs, AstraLocker ha utilizzato un metodo poco ortodosso per crittografare i dispositivi delle sue vittime rispetto ad altri tipi di ransomware.

Invece di compromettere prima il dispositivo (hackerandolo o acquistando l’accesso da altri attori delle minacce), l’operatore di AstraLocker distribuisce direttamente i payload dagli allegati e-mail utilizzando documenti Microsoft Word dannosi.

Le esche utilizzate negli attacchi AstroLocker sono documenti che nascondono un oggetto OLE con il payload del ransomware che verrà distribuito dopo che il bersaglio fa clic su Esegui nella finestra di dialogo di avviso visualizzata all’apertura del documento.

Prima di crittografare i file sul dispositivo ormai compromesso, il ransomware verificherà se è in esecuzione in una macchina virtuale, interromperà i processi e interromperà i servizi di backup e AV che ostacolerebbero il processo di crittografia.

Sulla base dell’analisi di ReversingLabs, AstraLocker si basa sul codice sorgente del ransomware Babuk Locker (Babyk) trapelato, un ceppo buggato ma ancora pericoloso che è uscito dallo spazio  nel settembre 2021 .

Inoltre, uno degli indirizzi del portafoglio Monero nella richiesta di riscatto di AstraLocker era anche collegato agli operatori di  Chaos ransomware .