Xakep #305. Многошаговые SQL-инъекции
Компания Emsisoft выпустила бесплатный инструмент дешифровки файлов, которые пострадали в результате атак вымогателей AstraLocker и Yashma.
Напомню, что на прошлой неделе операторы AstraLocker объявили, что малварь прекращает свою работу, и загрузили на VirusTotal инструменты для дешифровки файлов, пострадавших от атак AstraLocker и Yashma. Хакеры заявили, что в будущем не планируют возвращаться к шифровальщикам, а намерены переключиться на криптоджекинг.
Хотя разработчик малвари не сообщал, почему AstraLocker неожиданно прекратил работу, СМИ предположили, что это может быть связано с опубликованными недавно отчетами ИБ-экспертов, которые изучили эту малварь. Это могло привлечь к AstraLocker внимание правоохранительных органов.
Воспользовавшись опубликованными данными, эксперты Emsisoft создали бесплатный инструмент для спасения пострадавшей информации, который уже доступен для загрузки с серверов компании. Также специалисты подготовили инструкцию по использованию своего дешифровщика.
«Дешифровщик AstraLocker предназначен для угрозы, основанной на Babuk, и файлов с расширением .Astra или .babyk, (всего было выпущено 8 ключей). Дешифровщик Yashma предназначен для угрозы, основанной на Chaos, использующей расширения .AstraLocker или случайные расширения в формате .[a-z0-9]{4} (в общей сложности выпущено 3 ключа)», — пишут специалисты.
Также Emsisoft рекомендует жертвам AstraLocker и Yashma, чьи системы были скомпрометированы через Windows Remote Desktop, изменить пароли для всех учетных записей, имеющих разрешение на удаленный доступ, а также поискать другие локальные учетные записи, которые могли быть добавлены хакерами.