据报道，勒索软件的开发人员在关闭其操作以转向加密劫持后，最近将解密器上传到了VirusTotal恶意软件分析平台。AstraLocker解密器和Yashma解密器加入了许多由新西兰公司Emsisoft免费提供的其他解密器。

“请务必先从您的系统中隔离恶意软件，否则它可能会反复锁定您的系统或加密文件，”阅读有关如何使用 AstraLocker 工具的指南(PDF)。

对于通过Windows远程桌面入侵的系统，建议用户更改所有允许远程登录的用户的密码，并检查本地用户帐户是否有攻击者可能添加的其他帐户。

默认情况下，AstraLocker解密器会预先填充从网络和连接的驱动器中选择用于解密的位置，但用户可以在启动解密过程之前添加其他位置。

解密器还默认保留加密文件，但如果磁盘空间存在问题，用户可以启用自动删除。

“由于勒索软件没有保存有关未加密文件的任何信息，因此解密器无法保证解密的数据与之前加密的数据相同，”该指南警告说。

根据ReversingLabs对后者泄露的源代码的分析，2021年出现的AstraLocker似乎建立在Babuk（或BabyK）之上，这是一种通过勒索软件即服务（RaaS）模型部署的变体。

使用修改后的HC-128加密算法和Curve25519加密函数对文件进行加密，并将.Astra或.babyk扩展名附加到加密文件中。

Yashma（或“AstraLocker 2.0”）利用AES-128和RSA-2048加密文件，并使用.AstraLocker扩展名或随机的四字符字母数字组合附加加密文件。

据ReversingLabs称，AstraLocker 2.0是通过恶意Microsoft Office文件到网络中的。

ReversingLabs的高级恶意软件研究员Joseph Edwards认为，这种“粉碎和抓取”攻击方法暗示了一个低技能的威胁行为者。

“这突显了在影响Babuk的代码泄露之后给组织带来的风险，因为大量低技能、高积极性的参与者利用泄露的代码进行自己的攻击。”