Nowy Avaddon Ransomware ponownie uderza w ogromną, uśmiechniętą kampanię spamową

Nowa Avaddon Ransomware ponownie znalazła się w centrum uwagi, atakując wiele systemów komputerowych na całym świecie poprzez masową kampanię spamową. Został wydany po raz pierwszy na początku czerwca i sprawia, że twórcy stają się coraz bardziej opłacalni, szyfrując kluczowe pliki użytkowników, a następnie wyłudzając od nich nielegalne przychody. W pierwszym znanym ataku wykryto go za pośrednictwem kampanii spamowej bardzo podobnej do kampanii miłosnej Nemty Ransomware, która miała miejsce w lutym.

Cyberprzestępcy wysyłają e-maile do wybranych ofiar za pomocą tematów takich jak „Twoje nowe zdjęcie?” lub „Czy podoba Ci się moje zdjęcie?”. Te wiadomości zawierają tylko mrugającą buźkę, która jest rzeczywiście narzędziem do pobierania JavaScript dla Avaddon Ransomware. Zaraz po kliknięciu, uruchomieniu lub uruchomieniu prowadzi do instalacji tego śmiertelnego szkodliwego oprogramowania kryptograficznego. Według raportu takie wiadomości spamowe są dystrybuowane przez Phorphiex / Trik Botnet, który jest wirusem trojańskim znanym z rozprzestrzeniania programów ransomware.

Ta kampania spamowa jest zbyt gigantyczna, ponieważ badacz bezpieczeństwa AppRiver David Picket powiedział, że w bardzo krótkim czasie zablokował ponad 300 000 wiadomości e-mail. Plik JavaScript maskarady jest dołączany do tych wiadomości e-mail jako zdjęcie JPG o nazwie takiej jak IMG123101.jpg. Te rozszerzenia plików są domyślnie ukryte przez system Windows, w związku z czym użytkownicy często nie zwracają dużej uwagi i otwierają pocztę, a w końcu Avaddon Ransomware trafiają na stację roboczą bez ich wiedzy.

Po pomyślnym zainstalowaniu na urządzeniu to niebezpieczne zagrożenie kryptograficzne wykonuje głębokie skanowanie całego komputera w poszukiwaniu danych znajdujących się na liście docelowej, a po wykryciu szyfruje każde z nich. Wykorzystuje bardzo wydajny algorytm szyfrowania, aby zablokować ważne pliki i dokumenty użytkowników, i dodaje rozszerzenie „.avdn” z nazwą każdego z nich jako sufiksem.

Po udanym szyfrowaniu Avaddon Ransomware pozostawia notatkę okupu zatytułowaną [id] -readme.html w każdym folderze zawierającym dane kompromisu. Ta notatka zawiera również link do strony płatniczej TOR, a także unikalny identyfikator ofiary umożliwiający zalogowanie się na stronie. Ta domena prosi o zapłatę okupu w wysokości 900 USD na atakujących, a także zawiera instrukcje dotyczące sposobu zapłaty za deszyfrator.