zh
en
bm
收到这样的email不要点开!新勒索软件Avaddon发送的邮件一点就会GG?
Published by
在上个月本大侠分享网络上出现新型的勒索软件Zorab和Tycoon,近日网络上又出现一种名为“Avaddon”(Trend Mirco侦测为Ransom.Win32.AVADDON.YJAF-A)的新勒索软件。这种勒索软件利用特定主题的邮件,来激发收件人的好奇心,诱使他们打开邮件并下载附件档,进而激发勒索软件的运行。
相关新闻:
新型勒索病毒Zorab伪装成另一个解密工具?只要下载就会对文件进行二次加密!
发现Java编写新型勒索病毒“Tycoon”!可跨越Windows和Linux进行感染!
(图片来源:网络)
据《Trend Micro》指出,“Avaddon”会随机寄出许多恶意木马程式的电子邮件,并且附上能激发收件人好奇心的主题,进而引诱他们下载附件档。这些邮件主题大多数都跟照片有关,由于现代大多数电子设备都配备有摄像头,因此这样的主题也特别吸引收件人。其中所所知道的主题包括:
- Look at this photo!(看看这张照片!)
- Photo just for you(只给你的照片)
- You look good here(你看起来不错)
- I love this photo(我喜爱这张照片)
- I like this photo(我喜欢这张照片)
- Is this your photo?(这是你的照片吗?)
- Is this you?(这是你吗?)
- My favourite photo(我最喜欢的照片)
- You like this photo?(你喜欢这张照片吗?)
(图片来源:Trend Micro)
“Avaddon”的电子邮件中的附件档名都是以“IMG”为开头,中间是一组随机的数字,然后结尾为“.jpg.js.zip”。当收件人下载附件档并执行时,“Avaddon”就会用PowerShell命令和BITSAdmin命令列工具下载并执行勒索软件。接着收件人就会发现电脑离得档案都被加了密,病加上了副档案名“.avdn”。此外,收件人的电脑桌面也会变成指出所有档案被加密的图片,并且会提到勒索通知”Instruction ××××××-readme.html”。
(图片来源:Trend Micro)
在”Instruction ××××××-readme.html”里,就是教导收件人如何“解锁”加密档案的方法,与其他的勒索软件一样,都是缴付“赎金”来解救电脑档案。
(图片来源:Trend Micro)
据《Trend Micro》指出,“Avaddon”除了会加密档案并且删除电脑备份之外,它还会终止许多跟防毒、扫描、储存、取回档案以及计划安排有关的服务,这也使得用户要对档案进行解锁的难度更加高。另外,“Avaddon”也会根据电脑档案数量的多少,来决定勒索的金额。
(图片来源:Trend Micro)
值得一提的是,《Trend Micro》还表示“Avaddon”对于Windows地区或者键盘语言设置设定为俄罗斯语、乌克兰语的电脑会网开一面。
(图片来源:Trend Micro)
参考来源:Trend Micro
