Le spécialiste de la protection contre les logiciels malveillants Emsisoft a publié des outils de décryptage gratuits pour les variantes de rançongiciels AstraLocker et Yashma.

Les décrypteurs ont été récemment téléchargés sur la plate-forme d’analyse des logiciels malveillants VirusTotal par le développeur du rançongiciel après avoir aurait arrêter leur opération afin de basculer vers le cryptojacking.

La Décrypteur AstraLocker et Décrypteur Yashma rejoignez une foule de autres décrypteurs mis à disposition gratuitement par Emsisoft, une société basée en Nouvelle-Zélande.

Utiliser le décrypteur

« Assurez-vous d’abord de mettre en quarantaine le logiciel malveillant de votre système, sinon il risque de se verrouiller à plusieurs reprises

votre système ou crypter des fichiers », lit un guide (PDF) sur l’utilisation de l’outil AstraLocker.

Pour les systèmes compromis via Windows Remote Desktop, il est conseillé aux utilisateurs de modifier les mots de passe de tous les utilisateurs autorisés à se connecter à distance et de vérifier les comptes d’utilisateurs locaux pour les comptes supplémentaires que l’attaquant pourrait avoir ajoutés.

Par défaut, le décrypteur AstraLocker pré-remplit les emplacements sélectionnés pour le décryptage à partir du réseau et des lecteurs connectés, mais les utilisateurs peuvent ajouter d’autres emplacements avant de lancer le processus de décryptage.

Le décrypteur laisse également par défaut les fichiers cryptés en place, bien que les utilisateurs puissent activer la suppression automatique si l’espace disque est un problème.

« Étant donné que le ransomware n’enregistre aucune information sur les fichiers non cryptés, le décrypteur ne peut pas garantir que les données décryptées sont identiques à celles qui ont été précédemment cryptées », prévient le guide.

Progéniture de BabyK

AstraLocker, qui a émergé en 2021, est apparemment construit sur Babuk (ou BabyK), une variante déployée via un modèle de ransomware-as-a-service (RaaS), selon un Analyse ReversingLabs du code source divulgué de ce dernier.

Les fichiers sont cryptés à l’aide d’un algorithme de cryptage HC-128 modifié et de la fonction cryptographique Curve25519, et .Astra ou .babyk les extensions sont ajoutées aux fichiers cryptés.

Yashma – ou ‘AstraLocker 2.0’ – exploite AES-128 et RSA-2048 pour crypter les fichiers et ajoute les fichiers cryptés avec le .AstraLocker extension ou une combinaison alphanumérique aléatoire de quatre caractères.

Selon ReversingLabs, AstraLocker 2.0 est introduit clandestinement dans les réseaux via des fichiers Microsoft Office malveillants.

Cette méthodologie d’attaque « smash and grab » suggère un acteur de menace peu qualifié, a déclaré Joseph Edwards, chercheur principal sur les logiciels malveillants chez ReversingLabs.

« Cela souligne le risque posé aux organisations à la suite de fuites de code comme celle affectant Babuk, car une grande population d’acteurs peu qualifiés et très motivés exploitent le code divulgué pour l’utiliser dans leurs propres attaques. »