Kostenlose Entschlüsselung für Opfer der Ransomware AstraLocker und Yashma

Redaktion silicon.de,

Emsisoft hat kostenloses Entschlüsselungs-Tool veröffentlicht, mit dem Opfer von AstraLocker und Yashma Dateien wiederherstellen, ohne Lösegeld zu zahlen.

Das kostenlose Tool kann von den Emsisoft-Servern heruntergeladen werden und ermöglicht die Wiederherstellung verschlüsselter Dateien mit Hilfe einer einfach zu befolgenden Anleitung. Es sollte sichergestellt sein, dass die Malware zunächst in Quarantäne kommt, da sie sonst ein System wiederholt sperren oder Dateien verschlüsseln kann. Standardmäßig gibt der Entschlüsseler die zu entschlüsselnden Speicherorte mit den aktuell verbundenen Laufwerken und Netzlaufwerken vor. Zusätzliche Speicherorte können über die Schaltfläche ‘Hinzufügen’ hinzugefügt werden.

Der Ransomware-Entschlüsseler ermöglicht es, die bei dem Angriff verschlüsselten Dateien als Ausfallsicherung zu behalten, falls die entschlüsselten Dateien nicht mit den Originaldokumenten identisch sind. “Der AstraLocker-Entschlüsseler ist für die Babuk-basierte Ransomware mit der Erweiterung .Astra oder .babyk, und es wurden insgesamt 8 Schlüssel veröffentlicht”, so Emsisoft. Der Yashma-Entschlüsseler sei für die Chaos-basierte Version mit der Erweiterung .AstraLocker oder einer zufälligen .[a-z0-9]{4} und es seien insgesamt 3 Schlüssel veröffentlicht worden.

Passwörter von Benutzerkonten ändern

Emsisoft rät den Opfern von AstraLocker und Yashma, deren Systeme über Windows Remote Desktop kompromittiert wurden, die Passwörter aller Benutzerkonten zu ändern, die die Berechtigung haben, sich aus der Ferne anzumelden. Der Entschlüsseler wurde veröffentlicht, nachdem der Bedrohungsakteur, der hinter der AstraLocker-Ransomware steckt, gegenüber BleepingComputer erklärte, dass er die Operation einstellt und plant, auf Kryptomining umzusteigen.

“Es hat Spaß gemacht, und Spaß hat immer irgendwann ein Ende. Ich schließe die Operation, die Entschlüsselungen sind in Zip-Dateien, sauber. Ich werde zurückkommen”, sagte der Entwickler von AstraLocker weiter in einem Gespräch mit BleepinComputer. “Ich bin fertig mit Ransomware für jetzt. I’m going in cryptojaking lol.” Der Ransomware-Entwickler teilte ein ZIP-Archiv mit Entschlüsselungsdateien von AstraLocker und Yashma, die er an die Malware-Analyseplattform VirusTotal übermittelt hat.

Auch wenn es nicht sehr oft vorkommt, haben andere Ransomware-Gruppen in der Vergangenheit Entschlüsselungsschlüssel und Entschlüsselungsprogramme an Sicherheitsforscher weitergegeben, entweder als Geste des guten Willens bei der Schließung oder bei der Veröffentlichung neuer Versionen.