近期，一種鮮為人知的名為AstraLocker的勒索軟件發(fā)布了它的第二個(gè)主要版本，據(jù)威脅分析師稱(chēng)，它能快速發(fā)動(dòng)攻擊，并直接從電子郵件附件中刪除其有效負(fù)載。這種方法是很少見(jiàn)的，因?yàn)樗械湫偷碾娮余]件攻擊都會(huì)盡量逃避檢測(cè)，并盡量減少電子郵件安全產(chǎn)品發(fā)出危險(xiǎn)信號(hào)的幾率。

根據(jù)一直跟蹤AstraLocker的ReversingLabs的說(shuō)法，攻擊者似乎并不關(guān)心偵察、有價(jià)值文件、以及潛入內(nèi)網(wǎng)橫向移動(dòng)等。相反，他們追求以最大的力量發(fā)起對(duì)目標(biāo)的攻擊，來(lái)?yè)Q取快速回報(bào)。

勒索軟件AstraLocker 2.0使用的誘餌是一個(gè)Microsoft Word文檔，該文檔隱藏了一個(gè)帶有勒索軟件有效載荷的OLE對(duì)象，其中嵌入式可執(zhí)行文件的文件名為“WordDocumentDOC.exe”。要執(zhí)行有效負(fù)載，用戶(hù)需要在打開(kāi)文檔時(shí)出現(xiàn)的警告對(duì)話框上單擊“Run”。這種處理方法符合Astra的整體“擊殺-抓取”策略，選擇OLE對(duì)象而不是惡意軟件發(fā)行版中更常見(jiàn)的VBA宏。

另一個(gè)選擇是使用 SafeEngine Shielder v2.4.0.0 來(lái)打包可執(zhí)行文件，這是一個(gè)非常陳舊過(guò)時(shí)的打包程序，幾乎不可能進(jìn)行逆向工程。在反分析檢查以確保勒索軟件沒(méi)有在虛擬機(jī)中運(yùn)行，并且沒(méi)有在其他活動(dòng)進(jìn)程中加載調(diào)試器之后，惡意軟件會(huì)使用Curve25519算法為加密系統(tǒng)做好準(zhǔn)備。這些準(zhǔn)備工作包括終止可能危及加密的進(jìn)程，刪除卷映像副本，以及停止一系列備份和反病毒服務(wù)。

根據(jù) ReversingLabs 的代碼分析，AstraLocker 是基于泄露的Babuk源代碼，這是一種有缺陷但仍然很危險(xiǎn)的勒索軟件，好在它已于2021 年9月退出該領(lǐng)域。此外，勒索信中列出的Monero錢(qián)包地址之一與Chaos勒索軟件的組織有關(guān)。這可能意味著相同的威脅行為者在操作這兩種惡意軟件，這種情況并不少見(jiàn)。但從最新的案例來(lái)看，AstraLocker 2.0似乎不是一個(gè)老練的威脅行為者的行為，因?yàn)樗麜?huì)盡可能地破壞更多目標(biāo)。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/astralocker-20-infects-users-directly-from-word-attachments/