logo logo

公司新闻

Company News
新闻列表 勒索软件AstraLocker2.0来袭!攻击形式更刁钻

勒索软件AstraLocker2.0来袭!攻击形式更刁钻

2022-07-07

云祺容灾备份系统,备份软件,数据库备份,虚拟机备份,勒索软件,漏洞,黑客,网络攻击,数据安全,AstraLocker2.0


近期,一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本,据威胁分析师称,它能快速发动攻击,并直接从电子邮件附件中删除其有效负载。这种方法是很少见的,因为所有典型的电子邮件攻击都会尽量逃避检测,并尽量减少电子邮件安全产品发出危险信号的几率。


根据一直跟踪AstraLocker的ReversingLabs公司的说法,攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反,他们追求以最大的力量发起对目标的攻击,来换取快速回报。

勒索软件AstraLocker2.0使用的诱饵是一个Microsoft Word文档,该文档隐藏了一个带有勒索软件有效载荷的OLE对象,其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载,用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略,选择OLE对象而不是恶意软件发行版中更常见的VBA宏。


另一个选择是使用SafeEngine Shielder v2.4.0.0来打包可执行文件,这是一个非常陈旧过时的打包程序,几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行,并且没有在其他活动进程中加载调试器之后,恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程,删除卷映像副本,以及停止一系列备份和反病毒服务。


根据ReversingLabs的代码分析,AstraLocker是基于泄露的Babuk源代码,这是一种有缺陷但仍然很危险的勒索软件,好在它已于2021年9月退出该领域。此外,勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件,这种情况并不少见。但从最新的案例来看,AstraLocker2.0似乎不是一个老练的威胁行为者的行为,因为他会尽可能地破坏更多目标。


勒索软件正在不断更新换代加强攻击性,对网络安全的危害性也随之增大,这是一个无法从根源上解决的问题,但并不意味着人们在遭遇勒索软件攻击时就只能束手无策。


数据备份——是在面对勒索软件攻击时的不二之选。就算数据在被攻击后丢失,若在平时就做好了相关备份,便能将不良影响尽可能的降到最小化。云祺容灾备份系统能为多种数据类型提供备份与恢复,对于任意类型的已备份时间点,其都能够提供在秒级时间内恢复该时间点的对应的虚拟机及其数据,分钟级恢复业务系统运行,整个过程不对原始备份数据产生任何影响,最大限度减少因灾难或故障造成核心业务中断,并保证了原始备份数据的安全。



关注云祺,获取更多精彩信息。


云祺容灾备份系统,备份软件,数据库备份,虚拟机备份,勒索软件,漏洞,黑客,网络攻击,数据安全,AstraLocker2.0


  • 标签:
  • 行业咨询

您可能感兴趣的新闻 换一批

现在下载,可享30天免费试用

立即下载

jia7jia_7
请添加好友
为您提供支持

请拨打电话
为您提供支持

400-9955-698