Neuer Avaddon Ransomware schlägt erneut in einer riesigen Smiley-Spam-Kampagne zu

Das neue Avaddon Ransomware ist durch massive Spam-Kampagnen erneut ins Rampenlicht gerückt und zielt auf eine Reihe von PC-Systemen auf der ganzen Welt ab. Es wurde zum ersten Mal Anfang Juni gestartet und macht die Entwickler immer profitabler, indem es die wichtigen Dateien der Benutzer verschlüsselt und dann illegale Einnahmen von ihnen erpresst. Bei seinem ersten bekannten Angriff wurde festgestellt, dass er über eine Spam-E-Mail-Kampagne verbreitet wurde, die der Nemty Ransomware Love Letter-Kampagne im Februar sehr ähnlich war.

avaddon-r-tor-site-1024x939.jpg (1024×939)

Cyberkriminelle senden E-Mails an die Opfer mit den Themen “Ihr neues Foto?” oder “Gefällt dir mein Foto?”. Diese Mails enthalten nur ein zwinkerndes Smiley-Gesicht, das in der Tat ein JavaScript-Downloader für das Avaddon Ransomware ist. Sobald es angeklickt, ausgeführt oder ausgeführt wird, wird diese tödliche Krypto-Malware installiert. Laut einem Bericht werden solche Spam-E-Mails von Phorphiex / Trik Botnet verbreitet, einem Trojaner, der für die Verbreitung von Ransomware-Programmen bekannt ist.

Diese Spam-Kampagne ist zu gigantisch, da der AppRiver-Sicherheitsforscher David Picket erklärte, sie hätten in sehr kurzer Zeit über 300.000 E-Mails blockiert. Mit diesen Mails wird eine Maskerade für eine JavaScript-Datei als JPG-Foto mit dem Namen IMG123101.jpg angehängt. Diese Dateierweiterungen werden von Windows standardmäßig ausgeblendet. Daher achten Benutzer häufig nicht besonders darauf, öffnen die E-Mails und erhalten Avaddon Ransomware ohne ihr Wissen auf dem Arbeitsplatz.

Nach der erfolgreichen Installation auf dem Gerät führt diese gefährliche Krypto-Bedrohung eine gründliche Überprüfung des gesamten Computers durch, um nach den Daten zu suchen, die in der Zielliste enthalten sind, und verschlüsselt diese nach ihrer Erkennung. Es verwendet einen sehr leistungsstarken Verschlüsselungsalgorithmus, um wichtige Dateien und Dokumente der Benutzer zu sperren, und fügt die Erweiterung “.avdn” mit dem Namen jedes einzelnen als Suffix hinzu.

Nach erfolgreicher Verschlüsselung hinterlässt Avaddon Ransomware in jedem Ordner, der die Kompromissdaten enthält, eine Lösegeldnotiz mit dem Titel [id] -readme.html. Dieser Hinweis enthält auch einen Link zur TOR-Zahlungsseite sowie die eindeutige ID des Opfers, um sich auf der Website anzumelden. Diese Domain fordert Sie auf, den Angreifern einen Lösegeldbetrag von 900 US-Dollar zu zahlen, und enthält auch Anweisungen zur Bezahlung eines Entschlüsselers.