近期，一種鮮為人知的名為AstraLocker的勒索軟件發(fā)布了它的第二個主要版本，據(jù)威脅分析師稱，它能快速發(fā)動攻擊，并直接從電子郵件附件中刪除其有效負(fù)載。這種方法是很少見的，因?yàn)樗械湫偷碾娮余]件攻擊都會盡量逃避檢測，并盡量減少電子郵件安全產(chǎn)品發(fā)出危險信號的幾率。

根據(jù)一直跟蹤AstraLocker的ReversingLabs的說法，攻擊者似乎并不關(guān)心偵察、有價值文件、以及潛入內(nèi)網(wǎng)橫向移動等。相反，他們追求以最大的力量發(fā)起對目標(biāo)的攻擊，來換取快速回報。

勒索軟件AstraLocker 2.0使用的誘餌是一個Microsoft Word文檔，該文檔隱藏了一個帶有勒索軟件有效載荷的OLE對象，其中嵌入式可執(zhí)行文件的文件名為“WordDocumentDOC.exe”。要執(zhí)行有效負(fù)載，用戶需要在打開文檔時出現(xiàn)的警告對話框上單擊“Run”。這種處理方法符合Astra的整體“擊殺-抓取”策略，選擇OLE對象而不是惡意軟件發(fā)行版中更常見的VBA宏。

另一個選擇是使用 SafeEngine Shielder v2.4.0.0 來打包可執(zhí)行文件，這是一個非常陳舊過時的打包程序，幾乎不可能進(jìn)行逆向工程。在反分析檢查以確保勒索軟件沒有在虛擬機(jī)中運(yùn)行，并且沒有在其他活動進(jìn)程中加載調(diào)試器之后，惡意軟件會使用Curve25519算法為加密系統(tǒng)做好準(zhǔn)備。這些準(zhǔn)備工作包括終止可能危及加密的進(jìn)程，刪除卷映像副本，以及停止一系列備份和反病毒服務(wù)。

根據(jù) ReversingLabs 的代碼分析，AstraLocker 是基于泄露的Babuk源代碼，這是一種有缺陷但仍然很危險的勒索軟件，好在它已于2021 年9月退出該領(lǐng)域。此外，勒索信中列出的Monero錢包地址之一與Chaos勒索軟件的組織有關(guān)。這可能意味著相同的威脅行為者在操作這兩種惡意軟件，這種情況并不少見。但從最新的案例來看，AstraLocker 2.0似乎不是一個老練的威脅行為者的行為，因?yàn)樗麜M可能地破壞更多目標(biāo)。

參考來源：https://www.bleepingcomputer.com/news/security/astralocker-20-infects-users-directly-from-word-attachments/