前言
Avaddon勒索病毒被笔者称为2020年全球十大流行勒索病毒之一,其首次出现于2020年6月在俄罗斯某地下黑客论坛开始出售,该勒索病毒使用C++语言进行编写,采用RSA-2048和AES-256加密算法对文件进行加密,该勒索病毒的传播方式多种多样,前期主要通过垃圾邮件附件JS/PowerShell恶意脚本等无文件技术进行传播,免杀效果非常好,发展到后面通过Phorpiex僵尸网络进行传播,同时还发现该勒索病毒通过垃圾邮件附带Excel4.0宏恶意代码进行传播。
Avaddon 勒索软件组织也是 2021 年最多产的勒索软件组织之一,其他几个组织分别为Sodinokibi(REvil)、DarkSide、Conti等,近日该组织宣布他们将关闭该组织并免费为数千名受害者提供解密工具。
BleepingComputer网站的Lawrence Abrams收到了一封匿名电子邮件,其中包含密码和指向名为“Avaddon勒索软件的解密密钥”的ZIP 文件链接,该文件包含 2934 名 Avaddon 勒索软件受害者的解密密钥。
随后Lawrence Abrams与 Emsisoft 首席技术官 Fabian Wosar 和 Coveware 的 Michael Gillespie 合作检查文件并验证解密密钥,Emsisoft创建了一个免费工具,Avaddon 受害者可以使用它来解密文件。
解密工具
Emsisoft此前发布过很多勒索病毒的解密工具,这次又第一时间更新发布了Avaddon勒索病毒解密工具,解密工具如下所示:
解密工具下载地址:
https://www.emsisoft.com/ransomware-decryption-tools/avaddon
通过测试该勒索病毒的几个变种样本,确实可以解密成功,如下所示:
解密工具使用手册下载地址:
https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_avaddon.pdf
逆向分析
笔者曾跟踪分析过国外某安全研究人员之前发布的Avaddon勒索病毒解密工具,那款解密工具原理就是通过暴力破解的方式,从内存中暴力搜寻解密的Key,然后通过搜索到的Key解密文件,可以参考笔者之前的文章《Avaddon勒索病毒解密工具及原理》,这次Avaddon勒索病毒黑客组织主动释放了解密密钥,通过逆向分析解密工具,发现资源里面包含二千多个解密的密钥,如下所示:
有了密钥,整个解密过程,如下所示:
总结
未来防勒索攻击的重点并不仅仅是勒索病毒了,防勒索攻击其实需要防御的是APT定向攻击,勒索仅仅是一种手段,防止企业数据被泄露,勒索攻击核心的价值是企业的数据,详细信息可以参考笔者之前写文章《与黑客讨价还价,勒索攻击企业数据是关键》
安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
安全的路很长,贵在坚持!
