新的Avaddon勒索软件带有眨眼的笑容,在针对全球用户的大规模垃圾邮件活动中活跃起来。
Avaddon于本月初启动,并正在积极招募黑客和恶意软件分发者,以通过任何可能的方式传播勒索软件。
作为其首次已知的攻击,Avaddon Ransomware正在垃圾邮件活动中分发,让人联想到2月的Nemty Ransomware Love Letter活动。
你喜欢我的照片?
在使用“您的新照片?”等主题的电子邮件浪潮中 或“你喜欢我的照片吗?” 除了眨眼的笑脸外,Avaddon勒索软件的JavaScript下载器正在分发中。

在 与BleepingComputer共享的相关报告中,网络安全公司Appriver表示Phorphiex / Trik Botnet正在分发恶意电子邮件。
正如AppRiver安全研究员David Picket告诉我们的那样,这次活动规模不小,他们在短时间内屏蔽了300,000封电子邮件。
这些电子邮件的附件是一个伪装成JPG照片的JavaScript文件,其名称类似于IMG123101.jpg。
在询问为什么有人打开通过电子邮件发送给他们的JavaScript文件之前,请务必记住Windows默认隐藏文件扩展名,即使这是已知的安全风险。
对接收者来说,它将只是显示为.jpg文件,如下所示。

执行后,JS附件将启动PowerShell和Bitsadmin命令,以将Avaddon勒索软件可执行文件下载到%Temp%文件夹并运行它。

在由BleepingComputer测试的样本中,勒索软件一旦执行,将搜索要加密的数据并将.avdn扩展名附加到加密文件中。

在每个文件夹中, 还将创建一个名为[id] -readme.html的赎金记录 。该赎金记录包含指向TOR付款站点的链接,以及用于登录该站点的唯一受害者ID。

这个TOR付款网站包含赎金金额(我们认为是900美元),以及有关如何支付解密器的说明。

TOR站点的其他部分包括支持聊天,免费测试解密以及由Harry Potter角色说明的帮助页面。

不幸的是,ID 勒索软件的创建者Michael Gillespie对勒索软件进行了分析,并指出它是安全的,不能免费解密。
还有更多
在本月初发布到俄语黑客论坛上的广告中,Avaddon表示它们是一个新的Ransomware-as-an-Affiliate(RaaS)程序。

RaaS程序是勒索软件创建者负责恶意软件的开发和TOR付款站点的运行的时候。
加入该计划的会员有责任通过垃圾邮件,网络破坏和攻击工具包分发勒索软件。
作为此安排的一部分,Avaddon将向会员支付其带来的所有赎金的65%,Avaddon运营商将获得35%的赎金。较大的关联公司通常能够根据其攻击规模来协商更高的收入份额。
与RaaS程序一样,Avaddon具有一系列规则,会员在分发勒索软件时必须遵循这些规则。最普遍的规则是,他们不能针对独立国家联合体(CIS)中的受害者 。
禁止在独联体国家(AZ,AM,BY,KZ,KG,MD,RU,TJ,UZ,UA,GE,TM)工作
。禁止向第三方表明或将管理者的地址传递给第三方.onion网络上的面板。
禁止将.exe上传到合并了AV实验室的未经验证的扫描仪。
*编译:Domino
*来自:bleepingcomputer