【工具分享】AstraLocker勒索病毒解密工具

最新推荐文章于 2024-07-14 15:37:30 发布
最新推荐文章于 2024-07-14 15:37:30 发布
阅读量772 收藏 9
点赞数 13
分类专栏: 工具分享 文章标签: 网络安全 网络 安全 经验分享 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83062893/article/details/139590696
版权

前言

ReversingLabs发现了AstraLocker勒索软件的新版本,该勒索软件直接从Microsoft Office文件中分发,用作网络钓鱼攻击的诱饵。分析表明,负责此活动的威胁行为者可能从 2021 年 9 月的 Babuk 勒索软件泄漏中获得了 AstraLocker 2.0 的底层代码。这两个活动之间的链接包括共享代码和活动标记,而列出用于支付赎金的门罗币钱包地址与 Chaos Ransomware 团伙有关

特征

AstraLocker样本隐藏在Microsoft Word文档中。执行恶意软件需要做一些工作:打开恶意 Word 附件的收件人需要多次额外点击才能激活嵌入式勒索软件。这是因为有效负载存储在 OLE 对象中;仅当用户双击文档中的图标并同意运行名为“WordDocumentDOC.exe:”的嵌入式可执行文件时,诱饵才会激活勒索软件。

毋庸置疑:需要如此多的用户交互会增加受害者对他们正在做的事情三思而后行的机会。这是 OLE 对象在恶意软件传递中使用较少的原因之一,与更流行的 VBA 宏感染方法相反,后者仅要求用户启用宏即可执行。

勒索信

图片

AstraLocker 显示以下赎金记录,与标准的 Babuk 勒索软件记录非常相似。然而,攻击者没有提供受害者的联系电子邮件,因此不清楚受害者的付款是如何进行的,或者是否是这样做的。

工具使用说明

重要提示:在执行以下操作之前,请务必先从系统中删除任何恶意软件,否则可能会导致系统反复锁定或文件加密。任何可靠的防病毒解决方案都可以帮助您完成这一步骤。

请注意:Rakhni会创建 exit.hhr.oshit 文件,其中包含用户文件的加密密码。如果保留了此文件在计算机上,则使用RakhniDecryptor工具解密速度将更快。如果文件已被删除,您可以使用文件恢复工具进行恢复。恢复文件后,请将其放入%APPDATA%目录中,然后再次运行扫描工具。

exit.hhr.oshit 文件的路径如下:

  • Windows XP:C:\Documents and Settings<username>\Application Data

  • Windows 7/8:C:\Users<username>\AppData\Roaming

要解密文件,请按以下步骤操作:

1.下载RakhniDecryptor.exe 文件。有关下载说明,请参考以下链接:

  • Windows 8 用户

  • Windows 7 用户

  • Windows Vista 用户

2.在受感染的计算机上运行RakhniDecryptor.exe 文件。

3.在 Kaspersky RakhniDecryptor 窗口中,单击“更改参数”链接。

图片

4.在“设置”窗口中,选择要扫描的对象(硬盘驱动器/可移动驱动器/网络驱动器)。

5.选中“解密后删除加密文件”复选框(该实用程序将删除扩展名为 .locked、.kraken 和 .darkness 的原始文件的副本)。

6.单击“确定”。

图片

7.在 Kaspersky RakhniDecryptor 中,单击“开始扫描”按钮。

图片

8.在指定加密文件路径中,选择需要还原的文件,然后单击“打开”。

  

   工具下载地址

      进入公众号关注同名账号

      回复关键字【AstraLocker】获取下载链接

solar专业应急响应团队
关注
  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
卡巴斯基实验室勒索病毒文件解密工具Rannoh Decryptor 1.9.6.1
05-13
卡巴斯基实验室勒索病毒文件解密工具Rannoh Decryptor 1.9.6.1
勒索病毒解密工具
csd_ct的专栏
02-14 1万+
加密勒索病毒猖獗,最近逛论坛看到2个好的勒索病毒解密的站点,记录下,以备不时之需: 1、360勒索病毒解密,https://lesuobingdu.360.cn/ 2.深信服勒索解密工具,https://mp.weixin.qq.com/s/EDJMABKxNMFYDrTEctFYRQ ...
勒索病毒解密工具的汇总
热门推荐
LiBai'S BLOG
05-21 2万+
以下为日常搜集的勒索病毒解密工具的汇总。希望对大家有用! [777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密的文件 https://success.trendmicro.com/solution/1114221 [AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密的文件 http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip [Age
勒索预警,一大波新型勒索病毒解密工具
pandazhengzheng的博客
03-12 1768
勒索预警,一大波新型勒索病毒解密工具
工具分享】Annabelle勒索病毒解密工具
2401_83062893的博客
05-27 306
Annabelle勒索病毒灵感来自恐怖电影系列 Annabelle。除了文件加密功能外,Annabelle 勒索软件还会试图禁用防火墙,强制停止一系列正在运行程序,通过连接的 USB 驱动器进行传播。
Aurora勒索病毒专用解密工具
04-07
"Aurora勒索病毒专用解密工具"就是这样一个程序,专门设计用来对抗Aurora勒索病毒。这个工具的出现往往基于安全研究人员对病毒加密机制的深入研究,他们可能发现了病毒的漏洞或者备份密钥,使得解密成为可能。 在...
一键解密WannaRen勒索病毒解密工具
04-07
一键解密WannaRen勒索病毒解密工具 亲测! 能解! 好用! 安装运行后,只需点击“开始扫描”即可对被WannaRen勒索病毒加密的文件进行一键全盘解密,也可以将文件直接拖入工具框进行解密,无需其它操作。
CryptON勒索病毒解密工具(支持.YOUR_LAST_CHANCE新变种)
04-07
在使用CryptON勒索病毒解密工具时,首先应确保系统安全,避免病毒进一步扩散。这可能包括断开网络连接、启动到安全模式或者使用干净的系统环境运行该工具。接下来,用户应运行压缩包内的"CryptON勒索病毒解密工具...
TeslaCrypt 3勒索病毒解密工具
06-12
TeslaCrypt 3勒索病毒解密工具,扩展名例如: .xxx, .ttt., .micro, .mp3
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8334
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
从零开始做题:logtime
weixin_44626085的博客
07-10 251
给出1个pcapng文件。
vue2 实现原生 WebSocket
weixin_38797742的博客
07-11 379
原生WebSocket: new WebSocket。
hmallox勒索病毒科普:了解其威胁与防御策略
最新发布
safe130_的博客
07-14 599
halo,.360,.faust,.2700, .eking,elbie, .wis,.mkp,.malox,.rmallox,.mallox,.hmallox, .anony, .ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .src, .secret , .datah, .BEAST,.DevicData-P, .kat6.l6st6r 等等,:用户从非官方或不受信任的源下载软件时,可能会无意中安装带有勒索病毒的软件包。
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 666
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
访问控制的定义与原理
SafePloy_SH的博客
07-11 326
访问控制(Access Control)是一种重要的安全机制,用于限制对程序中的数据、函数、类以及计算机系统中资源(如文件、数据库、网络设备等)的访问权限。其主要目的是保护系统中的敏感信息和资源,防止未经授权的访问和操作,确保系统的安全性、完整性和可靠性。综上所述,访问控制是保障系统安全的重要手段之一,它通过限制用户对资源的访问权限来防止未经授权的访问和操作。允许用户对自身所创建的访问对象(如文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户或收回其访问权限。
【观成科技】Websocket协议代理隧道加密流量分析与检测
GCKJ_0824的博客
07-10 1011
Websocket中的掩码加密使用异或(xor)做简单的加密,当MASK字段对应位被设置为 1 时表示加密,那么后续会设置4字节的Masking-key,Mask位设置为 0 时表示不加密,则不会携带Masking-key。观成科技的安全团队通过研究Websocket协议本身结构特点,并与对应的工具流量相结合,从而提出行之有效的检测方法应用于产品当中,能在Websocket流量中准确发现异常,找出相关隧道的搭建和使用痕迹,保障客户网络安全Websocket协议代理工具加密流量检测。
phobos勒索病毒解密工具
06-25
### 回答1: phobos勒索病毒是一种非常破坏性的计算机病毒,它会对用户的计算机进行加密,并要求用户支付赎金才能够获取解密密钥。这种病毒的出现给用户的生活和工作带来了很大的不便和麻烦,因此,很多专业的安全公司也在积极研发解密工具来帮助用户解决这个问题。 phobos勒索病毒解密工具是一种能够解密被该病毒加密的文件的软件程序。它可以在不向攻击者支付赎金的情况下,还原用户被加密的数据。在使用这种工具的时候,用户需要按照工具的使用说明进行操作,具体步骤主要包括下载并安装解密工具,选择被加密的文件,并且开始进行解密操作。在解密的过程中,用户需要根据工具提供的提示,输入密钥以完成解密。 但是需要注意的是,phobos勒索病毒解密工具可能不会完全解决用户所遇到的问题。因为病毒本身是会不断更新改进的,所以解密工具也需要不断跟进和更新才能够适应最新的病毒版本。因此,用户在使用解密工具进行解密的过程中,还需要注意备份和防范措施,并且在遇到问题时及时求助专业的技术人员,以尽可能保护自己的数据安全。 ### 回答2: Phobos勒索病毒是一种非常恶性的计算机病毒,它会通过加密系统文件和文档等方式,使得用户无法访问自己的计算机数据。这种病毒常常要求受害者支付赎金,以获取解密文件的密钥,否则就永远无法恢复自己的数据。 为了解决这个问题,专业的技术人员和安全公司开发了Phobos勒索病毒解密工具。这种工具能够通过解开Phobos勒索病毒加密的算法,找到并还原其中数据的密钥,使得受害者可以重新访问自己的文件和目录。 然而,使用Phobos勒索病毒解密工具并不是一件容易的事情。首先,这种工具只能用于特定版本的Phobos勒索病毒,对于其他版本的病毒可能无效。其次,解密工具的使用需要专业的技术人员和丰富的经验,否则可能会导致数据损坏或丢失。而且,解密工具可能需要付费购买,这增加了受害者的经济压力。 因此,为了避免被这种恶意病毒攻击,用户应该尽量提升自己的安全意识,加强计算机和文件的保护措施,定期备份重要数据。如果不幸感染了Phobos勒索病毒,建议第一时间联系专业的安全团队,寻求专业的帮助和建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值