直指word附件，勒索软件AstraLocker 2.0来袭！

近期 ，附件一种鲜为人知的勒索名为AstraLocker的勒索软件发布了它的第二个主要版本 ，据威胁分析师称  ，软件它能快速发动攻击，附件并直接从电子邮件附件中删除其有效负载。勒索这种方法是软件很少见的
，因为所有典型的附件电子邮件攻击都会尽量逃避检测，并尽量减少电子邮件安全产品发出危险信号的香港云服务器勒索几率 。

根据一直跟踪AstraLocker的软件ReversingLabs的说法 ，攻击者似乎并不关心侦察、附件有价值文件 、勒索以及潜入内网横向移动等。软件相反，附件他们追求以最大的勒索力量发起对目标的攻击 ，来换取快速回报。软件

勒索软件AstraLocker 2.0使用的源码库诱饵是一个Microsoft Word文档
 ，该文档隐藏了一个带有勒索软件有效载荷的OLE对象，其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载
，用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略
，选择OLE对象而不是恶意软件发行版中更常见的模板下载VBA宏。

另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件
，这是一个非常陈旧过时的打包程序
，几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行
，并且没有在其他活动进程中加载调试器之后 ，恶意软件会使用Curve25519算法为加密系统做好准备 。这些准备工作包括终止可能危及加密的进程  ，删除卷映像副本，服务器租用以及停止一系列备份和反病毒服务 。

根据 ReversingLabs 的代码分析，AstraLocker 是基于泄露的Babuk源代码 ，这是一种有缺陷但仍然很危险的勒索软件，好在它已于2021 年9月退出该领域 。此外，勒索信中列出的Monero钱包地址之一与Chaos勒索软件的云计算组织有关
。这可能意味着相同的威胁行为者在操作这两种恶意软件，这种情况并不少见
。但从最新的案例来看，AstraLocker 2.0似乎不是一个老练的威胁行为者的行为，因为他会尽可能地破坏更多目标。

参考来源 ：https://www.bleepingcomputer.com/news/security/astralocker-20-infects-users-directly-from-word-attachments/