什么是Avaddon勒索病毒?
Avaddon是一种加密病毒,已于2020年6月被网络安全研究员GrujaRS 首次发现。据专家预测,这种勒索病毒异常活跃,因为其背后的罪犯正在应用各种传播策略,包括Phorphiex / Trik僵尸网络,眨眼垃圾邮件攻击,针对俄罗斯黑客的勒索病毒联盟(RaaS),攻击工具包等等。
Avaddon勒索病毒的可执行文件(temp27472466.exe或img164186.jpg.js)在%Temp%中运行PowerShell和Bitsadmin命令以启用勒索病毒。内置的文件加密软件会在计算机上扫描兼容的文件扩展名,并通过对每个文件进行.avdn文件扩展名来锁定成功识别的文件扩展名。该病毒还会替换桌面背景,并创建一个勒索记录[id] -readme.html(而不是ID,人们看到的是唯一的标识号),该重定向到TOR付款站点,该站点要求受害者购买比特币并支付比特币。
| 名称 |
阿瓦顿(Avaddon) |
| 国际分类 |
勒索病毒 |
| 分配 |
Phorphiex / Trik僵尸网络,恶意的IMG123101.jpg垃圾邮件附件,不受保护的RDP,漏洞利用工具包,受感染的软件下载链接,在俄罗斯黑客论坛上提供的RaaS等。 |
| 相关档案 |
temp27472466.exe ,img164186.jpg.js,sava.exe |
| 文件扩展名 |
勒索病毒将个人文件的扩展名更改为.avdn后缀 |
| 注意 |
作为一种典型的文件加密病毒,它将桌面背景替换为“您的所有文件均已加密”注释,并生成HTML文件[id] -readme.html |
| 排除清单 |
勒索病毒被编程为通过启动自毁来跳过独联体国家,前独立国家联合体(CIS)的国家不太可能遇到此恶意软件。 |
| 勒索病毒的大小 |
它不是静态的。根据加密数据量的不同,价格从350美元到900美元不等 |
| 可以解密吗? |
.avdn文件目前无法免费恢复。专家提供了对该病毒的分析,似乎它正在使用没有唯一密钥就无法解密的在线ID |
| 消除 |
自动删除是摆脱危险的网络感染的唯一选择 |
Avaddon勒索病毒是如何传播感染的?
Avaddon勒索病毒是通过电子邮件传播,黑客发送邮件附件为名为IMG {6随机数} .jpg.js.zip的附件,其中包含一个名为IMG {6随机数} .jpg.js的JavaScript文件。
电子邮件正文包含一个笑脸。Avaddon活动的电子邮件也遵循过去的恶意软件活动的足迹,这些活动使用特定主题激发用户的好奇心,从而提示他们打开邮件并下载附件。这些电子邮件中的大多数都具有与照片相关的主题,而当内置摄像头的小配件现在变得广泛使用时,这可能对用户特别有吸引力:
- 看这张照片!
- 只为你的照片
- 你看起来不错
- 我喜欢这张照片
- 我喜欢这张照片
- 这是你的照片吗?
- 这是你吗?
- 我最喜欢的照片
- 你喜欢这张照片吗?
附件下载并运行后,它使用PowerShell命令和BITSAdmin命令行工具下载并运行勒索病毒有效负载。之后,受影响的用户将看到勒索病毒已加密文件,并在文件后缀了.avdn文件扩展名。用户将看到其系统桌面的墙纸已自动更改为一个图像,该图像指出“您的所有文件均已加密”,并提及赎金字样:“ Instruction 270015-readme.html”(遵循{Encrypted Directory} \ {随机数} -readme.html格式):
如何保护自己免受Avaddon勒索病毒感染?
为避免受到Avaddon勒索病毒或其他类似寄生虫攻击的风险,您不应信任和忽略来自未知来源的可疑电子邮件。切勿打开包含可疑附件或Web链接的电子邮件。
中了.avdn文件后缀的Avaddon勒索病毒文件怎么恢复?
此类勒索病毒属于:Avaddon家族 ,目前暂时不支持解密
- 如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具
2.如果文件急需,可以扫文章二维码添加我的服务号(shujuxf),发送文件样本给我进行免费咨询数据恢复方案,或者寻求其它第三方解密服务,如果采取付费解密服务注意以下事项:
预防勒索病毒-日常防护建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括:
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
