Kostenlose Entschlüsselung für Opfer der Ransomware AstraLocker und Yashma

Das kostenlose Tool kann von den Emsisoft-Servern heruntergeladen werden und ermöglicht die Wiederherstellung verschlüsselter Dateien mit Hilfe einer einfach zu befolgenden Anleitung. Es sollte sichergestellt sein, dass die Malware zunächst in Quarantäne kommt, da sie sonst ein System wiederholt sperren oder Dateien verschlüsseln kann. Standardmäßig gibt der Entschlüsseler die zu entschlüsselnden Speicherorte mit den aktuell verbundenen Laufwerken und Netzlaufwerken vor. Zusätzliche Speicherorte können über die Schaltfläche ‘Hinzufügen’ hinzugefügt werden.

Der Ransomware-Entschlüsseler ermöglicht es, die bei dem Angriff verschlüsselten Dateien als Ausfallsicherung zu behalten, falls die entschlüsselten Dateien nicht mit den Originaldokumenten identisch sind. “Der AstraLocker-Entschlüsseler ist für die Babuk-basierte Ransomware mit der Erweiterung .Astra oder .babyk, und es wurden insgesamt 8 Schlüssel veröffentlicht”, so Emsisoft. Der Yashma-Entschlüsseler sei für die Chaos-basierte Version mit der Erweiterung .AstraLocker oder einer zufälligen .[a-z0-9]{4} und es seien insgesamt 3 Schlüssel veröffentlicht worden.

Passwörter von Benutzerkonten ändern

Emsisoft rät den Opfern von AstraLocker und Yashma, deren Systeme über Windows Remote Desktop kompromittiert wurden, die Passwörter aller Benutzerkonten zu ändern, die die Berechtigung haben, sich aus der Ferne anzumelden. Der Entschlüsseler wurde veröffentlicht, nachdem der Bedrohungsakteur, der hinter der AstraLocker-Ransomware steckt, gegenüber BleepingComputer erklärte, dass er die Operation einstellt und plant, auf Kryptomining umzusteigen.

“Es hat Spaß gemacht, und Spaß hat immer irgendwann ein Ende. Ich schließe die Operation, die Entschlüsselungen sind in Zip-Dateien, sauber. Ich werde zurückkommen”, sagte der Entwickler von AstraLocker weiter in einem Gespräch mit BleepinComputer. “Ich bin fertig mit Ransomware für jetzt. I’m going in cryptojaking lol.” Der Ransomware-Entwickler teilte ein ZIP-Archiv mit Entschlüsselungsdateien von AstraLocker und Yashma, die er an die Malware-Analyseplattform VirusTotal übermittelt hat.

Auch wenn es nicht sehr oft vorkommt, haben andere Ransomware-Gruppen in der Vergangenheit Entschlüsselungsschlüssel und Entschlüsselungsprogramme an Sicherheitsforscher weitergegeben, entweder als Geste des guten Willens bei der Schließung oder bei der Veröffentlichung neuer Versionen.

Roger Homrich

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago