Actus

Voici un outil de déchiffrement gratuit pour les ransomwares AstraLocker et Yashma

Par hfrance , le 11 juillet 2022 - 3 minutes de lecture
Les opérateurs de la franchise de ransomware AvosLocker revendiquent le support des systèmes Linux et ESXi depuis l’automne dernier. Mais le premier échantillon correspondant vient seulement d’être découvert.
Notez l'article

La société néo-zélandaise de cybersécurité Emsisoft a publié un outil de décryptage gratuit pour aider les victimes des ransomwares AstraLocker et Yashma à récupérer leurs fichiers sans payer de rançon.

L’outil gratuit peut être téléchargé à partir des serveurs d’Emsisoft et vous permet de récupérer les fichiers chifffrés à l’aide d’instructions faciles à suivre disponibles dans ce guide d’utilisation [PDF].

“Veillez d’abord à mettre le malware en quarantaine de votre système, sinon il risque de verrouiller votre système ou de crypter des fichiers de manière répétée”, prévient Emsisoft.

“Par défaut, le décrypteur pré-remplit les emplacements à décrypter avec les lecteurs actuellement connectés et les lecteurs réseau. Des emplacements supplémentaires peuvent être ajoutés à l’aide du bouton ‘Ajouter’.”

Le décrypteur de ransomware vous permettra de conserver les fichiers cryptés lors de l’attaque en guise de sécurité si les fichiers décryptés ne sont pas identiques aux documents originaux.

“Le décrypteur AstraLocker est destiné à celui basé sur Babuk utilisant l’extension .Astra ou .babyk, et ils ont publié un total de 8 clés”, ajoute Emsisoft.

“Le décrypteur Yashma est pour celui basé sur Chaos utilisant l’extension .AstraLocker ou une extension aléatoire .[a-z0-9]{4}, et ils ont publié un total de 3 clés.”

Emsisoft a également conseillé aux victimes d’AstraLocker et de Yashma dont les systèmes ont été compromis via Windows Remote Desktop de changer les mots de passe de tous les comptes d’utilisateur qui ont les autorisations de se connecter à distance et de rechercher d’autres comptes locaux que les opérateurs du ransomware auraient pu ajouter.

AstraLocker decryptor

“C’était amusant, et les choses amusantes ont toujours une fin un jour. Je ferme l’opération, les décrypteurs sont dans des fichiers zip, propres. Je reviendrai”, nous a dit le développeur d’AstraLocker. “J’en ai fini avec les ransomwares pour le moment. Je me lance dans le cryptojaking lol.”

Le développeur du ransomware a partagé une archive ZIP avec les décrypteurs d’AstraLocker et de Yashma qu’ils ont soumis à la plateforme d’analyse de malwares VirusTotal.

Même s’ils n’ont pas révélé la raison de l’arrêt d’AstraLocker, la cause la plus probable est la publicité soudaine apportée par les récents rapports qui auraient fait atterrir l’opération dans le collimateur des forces de l’ordre.

AstraLocker est basé sur le ransomware Babuk Locker (Babyk), une souche boguée mais toujours dangereuse dont le code source a été divulgué en septembre sur un forum de pirates.

 

La liste des outils de décryptage publiés précédemment comprend Ragnarok, Avaddon, SynAck, AES-NI, Shade, FilesLocker, TeslaCrypt, Crysis, Ziggy et FonixLocker.

Source

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.