ГлавнаябезопасностьНовое Avaddon Ransomware появляется в масштабной спам-кампании

Новое Avaddon Ransomware появляется в масштабной спам-кампании

Новое Avaddon Ransomware оживает в огромной спам-кампании, нацеленной на пользователей по всему миру.

Avaddon был выпущен ранее в этом месяце и нанимает активных хакеров и распространителей вредоносного ПО для распространения любых вымогателей.

Как его первая известная атака, Avaddon Ransomware распространяется в спам-кампании, напоминающей февральскую кампанию Love Letter Ransomware Love Letter.

Программа-вымогатель Avaddon

Тебе нравится моя фотография;

В волне электронной почты, которая использует такие темы, как "Вам нравится моя фотография?" или «Ваша новая фотография?», которая содержит только символы смайликов, - доступна программа загрузки JavaScript для вымогателей Avaddon.

Программа-вымогатель Avaddon

В связанном отчете охранная компания в киберпространстве Appriver заявила, что Phorphiex / Trik Botnet распространяет вредоносная почта.

Эта кампания не маленькая, как сказал нам исследователь безопасности AppRiver Дэвид Пикет, что они за короткое время заблокировали более 300.000 XNUMX электронных писем.

К этим электронным письмам прилагается файл JavaScript, который «замаскирован» под JPG-фотографию с такими именами, как IMG123101.jpg.

Теперь, если вам интересно, почему кто-то должен открывать файл JavaScript, отправленный им по электронной почте, важно помнить, что Windows скрыть расширение файла по умолчанию, хотя угроза безопасности известна.

Это означает, что для получателя будет просто файл .jpg, как показано ниже.

Программа-вымогатель Avaddon

При выполнении подключенный JS запустит команды PowerShell и Bitsadmin для выполнения λήψη Avaddon вымогателей, которые можно запустить в папке% Temp% и запустить его.

В примере, протестированном BleepingComputer, после запуска Ransomware будет искать данные шифрования и добавляет расширение .avdn к зашифрованным файлам.

Программа-вымогатель Avaddon

В каждой папке будет создана записная книжка с именем [id] -readme.html. Эта записка о выкупе содержит ссылку на сайт TOR и уникальный идентификация жертвы используется для ссылки на сайт.

Программа-вымогатель Avaddon

Этот веб-сайт оплаты TOR содержит сумму выкупа и инструкции о том, как оплатить расшифровщик.

Другие разделы сайта TOR включают один чат поддержки, бесплатная пробная расшифровка и справочная страница, "украшенная" ее персонажами Harry Potter.

К сожалению, Майкл Гиллеспи проанализировал вымогателей и сказал, что это безопасно и не может быть расшифровано бесплатно.

В рекламе, опубликованной на российских хакерских форумах в начале этого месяца, Аваддон сказал, что это новая программа Ransomware-as-an-Affiliate (RaaS).

Это означает, что создатель вымогателей отвечает за разработку вредоносных программ и работу платежного веб-сайта. TOR.

Участники программы несут ответственность за распространение вымогателей через спам, компромиссные сети и использовать комплекты.

По этому соглашению Avaddon выплачивает партнерам 65% выкупа, который они приносят, а поставщики Avaddon получат 35%. Более крупные партнеры обычно могут договориться о более высокой доле дохода в зависимости от размера своих атак.

Как типично для программ RaaS, в Avaddon есть ряд правил, которым партнеры должны следовать при распространении вымогателей. Наиболее распространенным правилом является то, что они не могут преследовать жертв в Содружестве Независимых Государств (СНГ).

Теперь, когда создатели Avaddon начали принимать приложения, мы должны ожидать увеличения распространения и повышения нападки.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ