【工具分享】AstraLocker勒索病毒解密工具

前言

ReversingLabs发现了AstraLocker勒索软件的新版本,该勒索软件直接从Microsoft Office文件中分发,用作网络钓鱼攻击的诱饵。分析表明,负责此活动的威胁行为者可能从 2021 年 9 月的 Babuk 勒索软件泄漏中获得了 AstraLocker 2.0 的底层代码。这两个活动之间的链接包括共享代码和活动标记,而列出用于支付赎金的门罗币钱包地址与 Chaos Ransomware 团伙有关

特征

AstraLocker样本隐藏在Microsoft Word文档中。执行恶意软件需要做一些工作:打开恶意 Word 附件的收件人需要多次额外点击才能激活嵌入式勒索软件。这是因为有效负载存储在 OLE 对象中;仅当用户双击文档中的图标并同意运行名为“WordDocumentDOC.exe:”的嵌入式可执行文件时,诱饵才会激活勒索软件。

毋庸置疑:需要如此多的用户交互会增加受害者对他们正在做的事情三思而后行的机会。这是 OLE 对象在恶意软件传递中使用较少的原因之一,与更流行的 VBA 宏感染方法相反,后者仅要求用户启用宏即可执行。

勒索信

图片

AstraLocker 显示以下赎金记录,与标准的 Babuk 勒索软件记录非常相似。然而,攻击者没有提供受害者的联系电子邮件,因此不清楚受害者的付款是如何进行的,或者是否是这样做的。

工具使用说明

重要提示:在执行以下操作之前,请务必先从系统中删除任何恶意软件,否则可能会导致系统反复锁定或文件加密。任何可靠的防病毒解决方案都可以帮助您完成这一步骤。

请注意:Rakhni会创建 exit.hhr.oshit 文件,其中包含用户文件的加密密码。如果保留了此文件在计算机上,则使用RakhniDecryptor工具解密速度将更快。如果文件已被删除,您可以使用文件恢复工具进行恢复。恢复文件后,请将其放入%APPDATA%目录中,然后再次运行扫描工具。

exit.hhr.oshit 文件的路径如下:

  • Windows XP:C:\Documents and Settings<username>\Application Data

  • Windows 7/8:C:\Users<username>\AppData\Roaming

要解密文件,请按以下步骤操作:

1.下载RakhniDecryptor.exe 文件。有关下载说明,请参考以下链接:

  • Windows 8 用户

  • Windows 7 用户

  • Windows Vista 用户

2.在受感染的计算机上运行RakhniDecryptor.exe 文件。

3.在 Kaspersky RakhniDecryptor 窗口中,单击“更改参数”链接。

图片

4.在“设置”窗口中,选择要扫描的对象(硬盘驱动器/可移动驱动器/网络驱动器)。

5.选中“解密后删除加密文件”复选框(该实用程序将删除扩展名为 .locked、.kraken 和 .darkness 的原始文件的副本)。

6.单击“确定”。

图片

7.在 Kaspersky RakhniDecryptor 中,单击“开始扫描”按钮。

图片

8.在指定加密文件路径中,选择需要还原的文件,然后单击“打开”。

  

   工具下载地址

      进入公众号关注同名账号

      回复关键字【AstraLocker】获取下载链接

  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: phobos勒索病毒是一种非常破坏性的计算机病毒,它会对用户的计算机进行加密,并要求用户支付赎金才能够获取解密密钥。这种病毒的出现给用户的生活和工作带来了很大的不便和麻烦,因此,很多专业的安全公司也在积极研发解密工具来帮助用户解决这个问题。 phobos勒索病毒解密工具是一种能够解密被该病毒加密的文件的软件程序。它可以在不向攻击者支付赎金的情况下,还原用户被加密的数据。在使用这种工具的时候,用户需要按照工具的使用说明进行操作,具体步骤主要包括下载并安装解密工具,选择被加密的文件,并且开始进行解密操作。在解密的过程中,用户需要根据工具提供的提示,输入密钥以完成解密。 但是需要注意的是,phobos勒索病毒解密工具可能不会完全解决用户所遇到的问题。因为病毒本身是会不断更新改进的,所以解密工具也需要不断跟进和更新才能够适应最新的病毒版本。因此,用户在使用解密工具进行解密的过程中,还需要注意备份和防范措施,并且在遇到问题时及时求助专业的技术人员,以尽可能保护自己的数据安全。 ### 回答2: Phobos勒索病毒是一种非常恶性的计算机病毒,它会通过加密系统文件和文档等方式,使得用户无法访问自己的计算机数据。这种病毒常常要求受害者支付赎金,以获取解密文件的密钥,否则就永远无法恢复自己的数据。 为了解决这个问题,专业的技术人员和安全公司开发了Phobos勒索病毒解密工具。这种工具能够通过解开Phobos勒索病毒加密的算法,找到并还原其中数据的密钥,使得受害者可以重新访问自己的文件和目录。 然而,使用Phobos勒索病毒解密工具并不是一件容易的事情。首先,这种工具只能用于特定版本的Phobos勒索病毒,对于其他版本的病毒可能无效。其次,解密工具的使用需要专业的技术人员和丰富的经验,否则可能会导致数据损坏或丢失。而且,解密工具可能需要付费购买,这增加了受害者的经济压力。 因此,为了避免被这种恶意病毒攻击,用户应该尽量提升自己的安全意识,加强计算机和文件的保护措施,定期备份重要数据。如果不幸感染了Phobos勒索病毒,建议第一时间联系专业的安全团队,寻求专业的帮助和建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值