Nouveau Avaddon Ransomware frappe à nouveau dans une immense campagne de spam smiley

Le nouveau Avaddon Ransomware est à nouveau mis en lumière ciblant un certain nombre de systèmes PC dans le monde entier grâce à une campagne de spam massive. Lancé pour la première fois début juin, il rend les créateurs de plus en plus rentables en chiffrant les fichiers cruciaux des utilisateurs, puis en leur extorquant des revenus illicites. Lors de sa première attaque connue, il a été trouvé distribué par le biais d’une campagne de courrier indésirable très similaire à la campagne Nemty Ransomware Love Letter lancée en février.

avaddon-r-tor-site-1024x939.jpg (1024×939)

Les cybercriminels envoient des e-mails aux victimes ciblées en utilisant des sujets tels que “Votre nouvelle photo?” ou “Aimez-vous ma photo?”. Ces e-mails ne contiennent rien d’autre qu’un sourire souriant, qui est en effet un téléchargeur JavaScript pour le Avaddon Ransomware. Dès qu’il est cliqué, exécuté ou exécuté, il conduit à l’installation de ce crypto-malware mortel. Selon un rapport, ces courriers indésirables sont distribués par Phorphiex / Trik Botnet, un virus de Troie connu pour diffuser des programmes de rançongiciels.

Cette campagne de spam est trop gigantesque, car le chercheur en sécurité d’AppRiver, David Picket, a déclaré qu’ils avaient bloqué plus de 300 000 e-mails en très peu de temps. Un fichier JavaScript masqué est joint à ces e-mails en tant que photo JPG avec un nom comme IMG123101.jpg. Ces extensions de fichiers sont masquées par Windows par défaut et, par conséquent, les utilisateurs n’y prêtent pas beaucoup d’attention et ouvrent le courrier et finissent par obtenir Avaddon Ransomware sur le poste de travail à leur insu.

Après avoir été installée avec succès sur l’appareil, cette crypto-menace dangereuse effectue une analyse approfondie de l’ensemble de la machine à la recherche des données qui se trouvent dans sa liste cible et une fois détectées, chiffre chacune d’entre elles. Il utilise un algorithme de cryptage très puissant pour verrouiller les fichiers et documents importants des utilisateurs et ajoute l’extension «.avdn» avec le nom de chacun d’eux comme suffixe.

Une fois le chiffrement réussi, Avaddon Ransomware laisse une note de rançon intitulée [id] -readme.html sur chaque dossier contenant les données de compromis. Cette note comprend également un lien vers le site de paiement TOR ainsi que l’ID unique des victimes pour se connecter au site. Ce domaine vous demande de payer une rançon de 900 $ aux attaquants et comprend également des instructions sur la façon de payer pour un décrypteur.