直指word附件,勒索软件AstraLocker 2.0来袭!
我要评论
近期,附件一种鲜为人知的勒索名为AstraLocker的勒索软件发布了它的第二个主要版本,据威胁分析师称,软件它能快速发动攻击,附件并直接从电子邮件附件中删除其有效负载。勒索这种方法是软件很少见的,因为所有典型的附件电子邮件攻击都会尽量逃避检测,并尽量减少电子邮件安全产品发出危险信号的勒索几率。
根据一直跟踪AstraLocker的软件ReversingLabs的说法,攻击者似乎并不关心侦察、附件有价值文件、勒索以及潜入内网横向移动等。软件相反,附件他们追求以最大的勒索力量发起对目标的攻击,来换取快速回报。软件
勒索软件AstraLocker 2.0使用的免费源码下载诱饵是一个Microsoft Word文档,该文档隐藏了一个带有勒索软件有效载荷的OLE对象,其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载,用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略,选择OLE对象而不是恶意软件发行版中更常见的VBA宏。
另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件,这是一个非常陈旧过时的打包程序,几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行,并且没有在其他活动进程中加载调试器之后,恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程,删除卷映像副本,香港云服务器以及停止一系列备份和反病毒服务。
根据 ReversingLabs 的代码分析,AstraLocker 是基于泄露的Babuk源代码,这是一种有缺陷但仍然很危险的勒索软件,好在它已于2021 年9月退出该领域。此外,勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件,这种情况并不少见。但从最新的案例来看,AstraLocker 2.0似乎不是一个老练的威胁行为者的行为,因为他会尽可能地破坏更多目标。
参考来源:https://www.bleepingcomputer.com/news/security/astralocker-20-infects-users-directly-from-word-attachments/
相关文章
以建荣SD卡量产工具教程(关键步骤详解,让你快速掌握SD卡量产技巧)
摘要:在如今数字化时代,SD卡已成为存储设备的标配。然而,在一些特定的场景下,我们常常需要大批量制作相同规格的SD卡。为了提高效率和节省时间,以建荣SD卡量产工具应运而生。本文将详细介绍...2025-11-05
确保网络安全投资不仅仅关乎数字运算,更在于培养跨职能关系。对于CISO而言,争取关键利益相关者的支持将有助于获得关键资金。在确保网络安全投资方面,有许多因素在起作用。关键往往在于CISO能否与企业内的2025-11-05- 在数据库操作中,死锁是一个令人头疼的问题,它会导致事务无法继续执行,进而影响整个系统的性能。通常情况下,我们认为死锁是由于多个事务同时锁定不同的资源,并试图以不同的顺序访问这些资源时发生的。然而,令人2025-11-05
- 在大型系统中,随着数据量的不断增加,单一数据库和表可能会面临性能瓶颈。为了解决这个问题,我们可以采用分库分表的策略,将数据分散到不同的数据库和表中,以提高系统的查询效率和扩展性。本文将探讨如何在EF2025-11-05
- 摘要:在使用电脑过程中,我们经常会遇到程序出现未知错误的情况。这些错误可能导致程序崩溃、无法正常运行,给我们的工作和生活带来不便。为了解决这些问题,我们需要对电脑故障进行排查,并采取相应...2025-11-05
罗斯·杨(Ross Young)是Team8的驻场CISO,也是OWASP威胁与保障矩阵(TaSM)的创建者。在采访中,他分享了自己对于网络安全专业人员如何调整其演示内容以贴合董事会需求,并使安全策略2025-11-05
最新评论