什麼是Avaddon勒索病毒?
Avaddon是一種加密病毒,已於2020年6月被網絡安全研究員GrujaRS 首次發現。據專家預測,這種勒索病毒異常活躍,因為其背後的罪犯正在應用各種傳播策略,包括Phorphiex / Trik殭屍網絡,眨眼垃圾郵件攻擊,針對俄羅斯黑客的勒索病毒聯盟(RaaS),攻擊工具包等等。
Avaddon勒索病毒是如何傳播感染的?
Avaddon勒索病毒是通過電子郵件傳播,黑客發送郵件附件為名為IMG {6隨機數} .jpg.js.zip的附件,其中包含一個名為IMG {6隨機數} .jpg.js的JavaScript文件。
電子郵件正文包含一個笑臉。Avaddon活動的電子郵件也遵循過去的惡意軟體活動的足跡,這些活動使用特定主題激發用戶的好奇心,從而提示他們打開郵件並下載附件。這些電子郵件中的大多數都具有與照片相關的主題,而當內置攝像頭的小配件現在變得廣泛使用時,這可能對用戶特別有吸引力:
• 看這張照片!
• 只為你的照片
• 你看起來不錯
• 我喜歡這張照片
• 我喜歡這張照片
• 這是你的照片嗎?
• 這是你嗎?
• 我最喜歡的照片
• 你喜歡這張照片嗎?
附件下載並運行後,它使用PowerShell命令和BITSAdmin命令行工具下載並運行勒索病毒有效負載。之後,受影響的用戶將看到勒索病毒已加密文件,並在文件後綴了.avdn文件擴展名。用戶將看到其系統桌面的牆紙已自動更改為一個圖像,該圖像指出「您的所有文件均已加密」,並提及贖金字樣:「 Instruction 270015-readme.html」(遵循{Encrypted Directory} \ {隨機數} -readme.html格式):
如何保護自己免受Avaddon勒索病毒感染?
為避免受到Avaddon勒索病毒或其他類似寄生蟲攻擊的風險,您不應信任和忽略來自未知來源的可疑電子郵件。切勿打開包含可疑附件或Web連結的電子郵件。
中了.avdn文件後綴的Avaddon勒索病毒文件怎麼恢復?
此類勒索病毒屬於:Avaddon家族 ,目前暫時不支持解密
1.如果文件不急需,可以先備份等黑客被抓或良心發現,自行發布解密工具
2.如果文件急需,可以掃文章二維碼添加我的服務號(shujuxf),發送文件樣本給我進行免費諮詢數據恢復方案,或者尋求其它第三方解密服務,如果採取付費解密服務注意以下事項:
(1)不建議直接向黑客付款。直接向黑客付款存在很大風險,第一是可能拿到的解密工具並不能使用 ,第二密鑰不對,第三再次或多次向你索要贖金。
(2)通過尋找第三方解密服務商,開始工作前一定要籤訂合同,要明確解密不成功是否需要付款等問題,必要時可要求上門服務。
(3)不要諮詢太多第三方商家。因為第三方大多都是去找黑客購買密鑰。過多的聯繫第三方商家,會造成黑客收到多次關於你設備的諮詢過多的聯繫第三方商家,會造成黑客收到多次關於你設備的諮詢,可能導致黑客認為你的數據特別重要,而提高贖金。
(4)不要過度描述自己文件的重要性,可能會造成解密商或黑客提高佣金或贖金要求。
預防勒索病毒-日常防護建議:
1.多臺機器,不要使用相同的帳號和口令
2.登錄口令要有足夠的長度和複雜性,並定期更換登錄口令
3.重要資料的共享文件夾應設置訪問權限控制,並進行定期備份
4.定期檢測系統和軟體中的安全漏洞,及時打上補丁。
5.定期到伺服器檢查是否存在異常。查看範圍包括:
a)是否有新增帳戶
b) Guest是否被啟用
c) Windows系統日誌是否存在異常
d)殺毒軟體是否存在異常攔截情況
6.安裝安全防護軟體,並確保其正常運行。
7.從正規渠道下載安裝軟體。
8.對不熟悉的軟體,如果已經被殺毒軟體攔截查殺,不要添加信任繼續運行。