新的Avaddon勒索软件在大规模的笑脸垃圾邮件活动中启动

作者

阿瓦顿

新的Avaddon勒索软件带有眨眼的笑容,在针对全球用户的大规模垃圾邮件活动中活跃起来。

Avaddon于本月初启动,并正在积极招募黑客和恶意软件分发者,以通过任何可能的方式传播勒索软件。

作为其首次已知的攻击,Avaddon Ransomware正在垃圾邮件活动中分发,让人联想到2月的Nemty Ransomware Love Letter活动

你喜欢我的照片?

在使用“您的新照片?”等主题的电子邮件浪潮中 或“你喜欢我的照片吗?” 除了眨眼的笑脸外,Avaddon勒索软件的JavaScript下载器正在分发中。

Avaddon垃圾邮件示例
Avaddon垃圾邮件示例

在 与BleepingComputer共享的相关报告中,网络安全公司Appriver表示Phorphiex / Trik Botnet正在分发恶意电子邮件。

正如AppRiver安全研究员David Picket告诉我们的那样,这次活动规模不小,他们在短时间内屏蔽了300,000封电子邮件。

这些电子邮件的附件是一个伪装成JPG照片的JavaScript文件,其名称类似于IMG123101.jpg。

在询问为什么有人打开通过电子邮件发送给他们的JavaScript文件之前,请务必记住Windows默认隐藏文件扩展名,即使这是已知的安全风险

对接收者来说,它将只是显示为.jpg文件,如下所示。

JavaScript文件显示为JPG
JavaScript文件显示为JPG

执行后,JS附件将启动PowerShell和Bitsadmin命令,以将Avaddon勒索软件可执行文件下载到%Temp%文件夹并运行它。

Avaddon JScript下载器
Avaddon JScript下载器

在由BleepingComputer测试的样本中,勒索软件一旦执行,将搜索要加密的数据并将.avdn扩展名附加到加密文件中。

由Avaddon加密的文件
由Avaddon加密的文件

在每个文件夹中, 还将创建一个名为[id] -readme.html的赎金记录  。该赎金记录包含指向TOR付款站点的链接,以及用于登录该站点的唯一受害者ID。

Avaddon Ransom注意(点击放大)
Avaddon Ransom注意(点击放大)

这个TOR付款网站包含赎金金额(我们认为是900美元),以及有关如何支付解密器的说明。

Avaddon TOR付款网站
Avaddon TOR付款网站

TOR站点的其他部分包括支持聊天,免费测试解密以及由Harry Potter角色说明的帮助页面。

Avaddon TOR帮助页面
Avaddon TOR帮助页面

不幸的是,ID 勒索软件的创建者Michael Gillespie对勒索软件进行了分析,并指出它是安全的,不能免费解密。

还有更多

在本月初发布到俄语黑客论坛上的广告中,Avaddon表示它们是一个新的Ransomware-as-an-Affiliate(RaaS)程序。

字幕

RaaS程序是勒索软件创建者负责恶意软件的开发和TOR付款站点的运行的时候。

加入该计划的会员有责任通过垃圾邮件,网络破坏和攻击工具包分发勒索软件。

作为此安排的一部分,Avaddon将向会员支付其带来的所有赎金的65%,Avaddon运营商将获得35%的赎金。较大的关联公司通常能够根据其攻击规模来协商更高的收入份额。

与RaaS程序一样,Avaddon具有一系列规则,会员在分发勒索软件时必须遵循这些规则。最普遍的规则是,他们不能针对独立国家联合体(CIS)中的受害者  。

禁止在独联体国家(AZ,AM,BY,KZ,KG,MD,RU,TJ,UZ,UA,GE,TM)工作
。禁止向第三方表明或将管理者的地址传递给第三方.onion网络上的面板。
禁止将.exe上传到合并了AV实验室的未经验证的扫描仪。

*编译:Domino

*来自:bleepingcomputer