新的Avaddon勒索软件通过笑脸垃圾邮件传播

新的Avaddon勒索软件带有眨眼的笑容，在针对全球用户的大规模垃圾邮件活动中活跃起来。

Avaddon于本月初启动，并正在积极招募黑客和恶意软件分发者以任何可能的方式传播勒索软件。

作为其首次已知的攻击，Avaddon勒索软件正在垃圾邮件活动中分发，让人联想到2月的Nemty Ransomware情书活动。

你喜欢我的照片？

在使用“您的新照片？”等主题的电子邮件浪潮中或“你喜欢我的照片吗？”除了眨眼的笑脸外，Avaddon勒索软件的JavaScript下载器正在分发中。

Avaddon垃圾邮件示例

在与BleepingComputer共享的一份相关 告中， 络安全公司Appriver表示Phorphiex / Trik Botnet正在分发恶意电子邮件。

正如AppRiver安全研究员David Picket告诉我们的那样，这次活动规模不小，他们在短时间内屏蔽了300,000封电子邮件。

这些电子邮件的附件是一个伪装成JPG照片的JavaScript文件，其名称类似于IMG123101.jpg。

在询问为什么有人打开通过电子邮件发送给他们的JavaScript文件之前，请务必记住Windows默认隐藏文件扩展名，即使这是已知的安全风险。

对接收者而言，它将仅显示为.jpg文件，如下所示。

JavaScript文件显示为JPG

执行后，JS附件将同时启动PowerShell和Bitsadmin命令，以将Avaddon勒索软件可执行文件下载到％Temp％文件夹并运行它。

Avaddon JScript下载器

在由BleepingComputer测试的样本中，勒索软件一旦执行，将搜索要加密的数据并将.avdn扩展名附加到加密文件中。

由Avaddon加密的文件

在每个文件夹中，还将创建一个名为[id] -readme.html的赎金记录。该赎金记录包含指向TOR付款站点的链接，以及用于登录该站点的唯一受害者ID。

Avaddon Ransom注意（点击放大）

这个TOR付款 站包含赎金金额（我们认为是900美元），以及有关如何支付解密器的说明。

Avaddon TOR付款 站

TOR站点的其他部分包括支持聊天，免费测试解密以及由Harry Potter角色说明的帮助页面。

Avaddon TOR帮助页面

不幸的是，ID勒索软件的创建者Michael Gillespie对勒索软件进行了分析，并指出它是安全的，不能免费解密。

还有更多

在本月初发布到俄语黑客论坛上的广告中，Avaddon表示他们是一个新的Ransomware-as-A-affiliate（RaaS）程序。

RaaS程序是勒索软件创建者负责恶意软件的开发和TOR付款站点的运行的时候。

加入该计划的会员有责任通过垃圾邮件，破坏 络和漏洞利用工具包分发勒索软件。

作为此安排的一部分，Avaddon将向会员支付其带来的所有赎金的65％，Avaddon运营商将获得35％的赎金。较大的关联公司通常能够根据其攻击规模来协商更高的收入份额。

与RaaS程序一样，Avaddon具有一系列规则，会员在分发勒索软件时必须遵循这些规则。最普遍的规则是，它们不能针对独立国家联合体（CIS）中的受害者。

禁止在独联体国家（AZ，AM，BY，KZ，KG，MD，RU，TJ，UZ，UA，GE，TM）工作禁止在.onion 络上指示或传递给第三方管理面板的地址。

禁止将.exe上传到合并了AV实验室的未经验证的扫描仪。现在，Avaddon的创建者已经开始接受应用程序，我们应该期望看到发行量增加和更高级的攻击发生。