Nuevo Avaddon Ransomware ataca de nuevo en una inmensa campaña de spam sonriente

El nuevo Avaddon Ransomware ha vuelto a ser el centro de atención dirigido a varios sistemas de PC en todo el mundo a través de una campaña masiva de spam. Se lanzó por primera vez a principios de junio y está haciendo que los creadores sean cada vez más rentables cómodamente al encriptar los archivos cruciales de los usuarios y luego extorsionarles los ingresos ilícitos. En su primer ataque conocido, se encontró distribuido a través de una campaña de correo electrónico no deseado muy similar a la campaña de Nemty Ransomware Love Letter que llegó en febrero.

Los ciberdelincuentes envían correos electrónicos a las víctimas seleccionadas utilizando temas como “¿Tu nueva foto?” o “¿Te gusta mi foto?”. Estos correos incluyen nada más que una carita sonriente, que de hecho es un descargador de JavaScript para Avaddon Ransomware. Tan pronto como se hace clic, se ejecuta o se ejecuta, conduce a la instalación de este cripto-malware mortal. Según un informe, Phorphiex / Trik Botnet distribuye dichos correos electrónicos no deseados, un virus troyano conocido por difundir programas de ransomware.

Esta campaña de spam es demasiado gigantesca ya que el investigador de seguridad de AppRiver, David Picket, dijo que habían bloqueado más de 300,000 correos electrónicos en muy poco tiempo. Se adjunta un archivo JavaScript enmascarado con estos correos electrónicos como una foto JPG con el nombre IMG123101.jpg. Windows oculta estas extensiones de archivo de manera predeterminada y, por lo tanto, los usuarios a menudo no prestan mucha atención y abren el correo y terminan recibiendo Avaddon Ransomware en la estación de trabajo sin su conocimiento.

Después de instalarse con éxito en el dispositivo, esta peligrosa criptoamenaza realiza un escaneo profundo de toda la máquina en busca de los datos que están en su lista de objetivos y, una vez detectados, encripta cada uno de ellos. Utiliza un algoritmo de cifrado muy poderoso para bloquear los archivos y documentos importantes de los usuarios y agrega la extensión “.avdn” con el nombre de cada uno de ellos como sufijo.

Después del cifrado exitoso, Avaddon Ransomware deja una nota de rescate titulada [id] -readme.html en cada carpeta que contiene los datos de compromiso. Esta nota también incluye un enlace al sitio de pago TOR, así como la identificación única de las víctimas para iniciar sesión en el sitio. Este dominio le pide que pague una cantidad de rescate de $ 900 a los atacantes y también incluye instrucciones sobre cómo pagar un descifrador.