گرداننده AstraLocker ضمن اعلام توقف فعالیتهای باجافزاری خود، اقدام به انتشار کلیدهای رمزگشایی این باجافزار نموده است. همچنین او در گفتگو با سایت BleepingComputer عنوان نموده که در آینده بر روی استخراج رمزارز بر روی دستگاههای هک شده (Cryptojacking) تمرکز خواهد کرد. همچنین او یک فایل فشرده ZIP که حاوی کلیدهای رمزگشای AstraLocker است را به سایت تحلیل بدافزار VirusTotal ارسال کرده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، این گزارش مورد بررسی قرار گرفته است.
محققان با دانلود فایل مذکور و بکارگیری کلیدهای آن، موفق شدند برخی از فایلهای رمزگذاری شده در کارزار اخیر AstroLocker را رمزگشایی کنند و تایید نمودند که این رمزگشا کاملاً معتبر میباشد. احتمالاً دیگر کلیدهای رمزگشای موجود در این فایل فشرده جهت رمزگشایی فایلهای رمزگذاری شده در کارزارهای قبلی طراحی شده است.
توسعهدهنده باجافزار AstraLocker در این خصوص اعلام نموده که با انتشار فایل فشرده حاوی کلیدهای رمزگشا، فعالیت باجافزاری را خاتمه داده و این باجافزار برای او حکم یک سرگرمی را داشته و چیزهای سرگرم کننده همیشه زمانی به پایان میرسند. او دلیل اصلی توقف فعالیت باجافزار AstraLocker را فاش نکرد. احتمال آن میرود که به دلیل سروصدای زیاد گزارش کارزار اخیر و ترس از تحت پیگرد قرار گرفتن توسط نهادهای قانونی، فعالیت خود را متوقف کرده باشد.
شرکت امنیتی امسیسافت (.Emsisoft, Ltd) نیز اعلام کرده که بهزودی در آینده با انتشار ابزار رمزگشا به قربانیان باجافزار در رمزگشایی دادهها کمک میکند.
در گذشته نیز برای باجافزارهایی همچون Avaddon ،Ragnarok ،SynAck ،TeslaCrypt ،Crysis ،AES-NI ،Shade ،FilesLocker ،Ziggy و FonixLocker ابزارهای رمزگشایی منتشر شده بود.
AstraLocker باجافزاری است که مستقیماً کد مخرب خود را از طریق فایل Word پیوست شده در ایمیلهای فیشینگ مستقر میکند و به جای ماکروهای VBA از OLE Object استفاده میکند. هنگامی که کاربر روی نماد موجود در سند Word دوبار کلیک میکند و در پنجره باز شده دکمه Run را انتخاب میکند، کد مخرب تعبیه شده اجرا میشود. جزئیات بیشتر باجافزار AstraLocker در نشانی زیر قابل مطالعه است:
https://newsroom.shabakeh.net/24736/astralocker-v2.html
منبع: