Opfer des Windows-Verschlüsselungstrojaners AstraLocker können aufatmen: Die Cyberkriminellen haben verkündet, die Malwarekampagne einzustellen. Außerdem haben sie Entschlüsselungstools veröffentlicht. Das berichtet das IT-Nachrichtenportal Bleepingcomputer, das eigenen Angaben zufolge Kontakt zu einem AstraLocker-Entwickler hat. Der soll ein Zip-Archiv mit mehreren Entschlüsselungstools bei der Onlineanalyse-Plattform Virustotal hochgeladen haben. Mit diesen Tools können Opfer ihre Daten befreien und wieder darauf zugreifen. Nach der Verschlüsselung fordern die Kriminellen Lösegeld gegen Schlüssel für die Dateien ein. Die Zahlung ist nun nicht mehr notwendig. Sicherheitsforschern von Malwarebytes zufolge hätten die Täter Opfer aber ohnehin im Regen stehen lassen. Bleepingcomputer gibt an, verschlüsselte Daten mit der Dateiendung .babyk erfolgreich mit einem Tool entschlüsselt zu haben. Die weiteren Entschlüsselungstools sind mit hoher Wahrscheinlichkeit für ältere Versionen von AstraLocker. Es ist davon auszugehen, dass Sicherheitsforscher die Tools zeitnah in einem zusammenfassen, sodass Opfer noch bequemer wieder auf ihre Daten zugreifen können. Der Ransomware-Entwickler gibt an, sich vorerst aus der Ransomware-Szene zurückzuziehen. Er will sich jetzt mit Betrug im Kontext von Kryptowährungen beschäftigen. AstraLocker basiert einer Analyse von ReversingLabs zufolge auf dem Erpressungstrojaner Babuk Locker (Babyk). Dessen Sourcecode ist im September 2021 geleakt. AstraLocker hat sich über mit Schadcode präparierte Word-Dokumente auf Windows-PCs geschlichen. Dafür musste ein Opfer das Dokument öffnen und eine Sicherheitsabfrage bestätigen. Im Anschluss vollzog der Schädling sein Schadenswerk.

Quelle: Heise