Обновленное вымогательское ПО использует примитивные инструменты для быстрой и прибыльной атаки
https://www.securitylab.ru/upload/ib...0008faeb4b.jpg
Исследователи компании ReversingLabs обнаружили, что программа-вымогатель AstraLocker получила обновление, которое позволяет злоумышленнику проводить быстрые атаки и запускать полезную нагрузку непосредственно из вложений электронной почты.
Приманкой AstraLocker 2.0 является документ Microsoft Word, который скрывает OLE-объект с полезной нагрузкой. Встроенный исполняемый файл использует имя файла «WordDocumentDOC.exe».
Для выполнения полезной нагрузки пользователю необходимо нажать «Выполнить» в диалоговом окне с предупреждением, которое появляется при открытии документа, что снижает шансы на успех для злоумышленника.
https://www.securitylab.ru/upload/im...t-img(160).png
Также для исполняемого файла злоумышленник использует упаковщик SafeEngine Shielder v2.4.0.0, который является настолько старым, что реверс-инжиниринг практически невозможен.
По словам экспертов, вредоносная программа подготавливает систему к шифрованию с использованием алгоритма Curve25519. Подготовка включает в себя:<ul><li>уничтожение процессов, которые могут помешать шифрованию;</li>
</ul><ul><li>удаление теневых копий томов, которые могут упростить для жертвы восстановление файлов;</li>
</ul><ul><li>остановку антивирусных служб;</li>
</ul><ul><li>очистку корзины.</li>
</ul>https://www.securitylab.ru/upload/im...t-img(159).png
Согласно анализу кода, AstraLocker основан на утечке исходного кода Babuk . Кроме того, один из адресов Monero кошелька в записке о выкупе связан с операторами программы-вымогателя Chaos . Это может означать, что за обеими вредоносными программами стоят одни и те же операторы.