Cualquier uso diario que demos a nuestro ordenador no está exento de ser infectado con todo tipo de virus o malware. Hasta una tarea cotidiana como abrir documentos de Word puede acabar dándonos complicaciones severas.
Por suerte, el funcionamiento de este malware AstraLocker 2.0, hace que sea fácil de prevenir… si sabéis cómo.
Peligroso, pero con bajas posibilidades de picar
Si bien el peligro de ser infectado con este AstraLocker 2.0 es alto, a su vez requiere de una alta tasa de interacción del usuario, lo que aumenta las posibilidades de que las víctimas lo piensen dos veces antes de ejecutarlo, además de mostrar un bajo nivel de habilidad por parte del atacante, según cuentan en ReversingLabs.
Documento infectado
El funcionamiento de este malware está estrechamente relacionado con el ransomware Babuk. De hecho, se cree según el análisis de código de ReversingLabs, que esta versión de AstraLocker se basa en el código fuente filtrado de Babuk, una cepa de ransomware con errores, pero aún peligrosa, que salió en septiembre de 2021.
El funcionamiento de AstraLocker 2.0 es mediante distribución como archivos adjuntos en Microsoft Word. Dentro de un documento aparece un objeto OLE (vinculación e inserción de objetos). Si el usuario hace doble clic en el icono de este documento insertado dentro de otro documento, se intentará ejecutar un instalable llamado WordDocumentDOC.exe. Si se acepta esta ejecución de programa, el malware conseguirá cifrar todos los datos del usuario y volver imposible el uso habitual del dispositivo.
Cómo recuperar tus archivos de este malware
En el caso de haber una infección exitosa, algo extremadamente complicado por la cantidad de pasos sospechosos para llevarse a cabo, necesitarás una herramienta para descifrar de nuevo los datos. Es ahí donde los autores del malware tratan de sacar tajada y piden un pago de 50 dólares a pagarse en monedas XMR (Monero) o Bitcoin para darte la herramienta de desencriptado. Las víctimas que pagan en Bitcoins deben enviar el ID de la transacción a [email protected]. La nota de rescate también dice que no hay otra forma de desencriptar archivos.
Nota de rescate AstraLocker 2.0
En caso de ser infectado, AstraLocker 2.0 encripta los archivos y agrega la extensión «.AstraLocker» o «.Astra» (según la variante) a los nombres de archivo. Además, crea el archivo «Recover_Your_Files.html» que contiene una nota de rescate. Según dicha nota de rescate, cambiar el nombre de los archivos para cambiar sus extensiones los dañará permanentemente.
Un ejemplo de cómo AstraLocker 2.0 cambia el nombre de los archivos: cambia el nombre de «1.jpg» a «1.jpg.Astra» o «1.jpg.AstraLocker», «2.png» a «2.png.Astra» o «2.png.AstraLocker» y así sucesivamente. Efectivamente, tratar de borrar la nueva palabra de la extensión no elimina el problema, por lo que los infectados acaban necesitando pasar por caja.
Fuente obtenida de: https://www.adslzone.net/noticias/seguridad/astralocker-2-malware-word-office/
