近期，一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本，据威胁分析师称，它能快速发动攻击，并直接从电子邮件附件中删除其有效负载。这种方法是很少见的，因为所有典型的电子邮件攻击都会尽量逃避检测，并尽量减少电子邮件安全产品发出危险信号的几率。

根据一直跟踪AstraLocker的ReversingLabs公司的说法，攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反，他们追求以最大的力量发起对目标的攻击，来换取快速回报。

勒索软件AstraLocker2.0使用的诱饵是一个Microsoft Word文档，该文档隐藏了一个带有勒索软件有效载荷的OLE对象，其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载，用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略，选择OLE对象而不是恶意软件发行版中更常见的VBA宏。

另一个选择是使用SafeEngine Shielder v2.4.0.0来打包可执行文件，这是一个非常陈旧过时的打包程序，几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行，并且没有在其他活动进程中加载调试器之后，恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程，删除卷映像副本，以及停止一系列备份和反病毒服务。

根据ReversingLabs的代码分析，AstraLocker是基于泄露的Babuk源代码，这是一种有缺陷但仍然很危险的勒索软件，好在它已于2021年9月退出该领域。此外，勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件，这种情况并不少见。但从最新的案例来看，AstraLocker2.0似乎不是一个老练的威胁行为者的行为，因为他会尽可能地破坏更多目标。

勒索软件正在不断更新换代加强攻击性，对网络安全的危害性也随之增大，这是一个无法从根源上解决的问题，但并不意味着人们在遭遇勒索软件攻击时就只能束手无策。

数据备份——是在面对勒索软件攻击时的不二之选。就算数据在被攻击后丢失，若在平时就做好了相关备份，便能将不良影响尽可能的降到最小化。云祺容灾备份系统能为多种数据类型提供备份与恢复，对于任意类型的已备份时间点，其都能够提供在秒级时间内恢复该时间点的对应的虚拟机及其数据，分钟级恢复业务系统运行，整个过程不对原始备份数据产生任何影响，最大限度减少因灾难或故障造成核心业务中断，并保证了原始备份数据的安全。

关注云祺，获取更多精彩信息。