Avaddon勒索病毒解密工具及原理 |
您所在的位置:网站首页 › 勒索病毒加密文件原理 › Avaddon勒索病毒解密工具及原理 |
简介 Avaddon勒索病毒被笔者称为2020年全球十大流行勒索病毒之一,其首次出现于2020年6月在俄罗斯某地下黑客论坛开始出售,该勒索病毒使用C++语言进行编写,采用RSA-2048和AES-256加密算法对文件进行加密,该勒索病毒的传播方式多种多样,前期主要通过垃圾邮件附件JS/PowerShell恶意脚本等无文件技术进行传播,免杀效果非常好,发展到后面通过Phorpiex僵尸网络进行传播,同时还发现该勒索病毒通过垃圾邮件附带Excel4.0宏恶意代码进行传播。 该勒索病毒最新变种加密后的文件,如下所示: 勒索提示信息文件内容,如下所示:
国外安全研究人员发布了一款Avaddon勒索病毒解密工具,解密工具源代码地址: https://github.com/JavierYuste/AvaddonDecryptor,笔者下载了此勒索病毒的解密工具,通过Avaddon勒索病毒的病毒样本进行测试,发现确实可以解密Avaddon勒索病毒,解密步骤: 1.以管理员身份打开ProcExp工具,找到Avaddon勒索病毒进程,然后挂起进程,并记下该进程的PID,如下所示:
笔者深入研究这款勒索病毒解密工具的源码,其原理就是通过暴力破解的方式,从内存中暴力搜寻解密的Key,然后通过搜索到的Key解密文件,详细过程如下: 1.暴力搜索匹配DUMP文件中的key数据,如下所示:
3.然后通过上面找到的key解密文件,如下所示:
目前大部分主流的勒索病毒都是无法解密的,一些企业在中了勒索病毒之后,为了解密重要数据,保证业务的正常运行,会选择向勒索病毒黑客组织交纳赎金,此前有报道指出勒索病毒黑客组织在2020年至少赚取了3.5亿美元的赎金,这个赎金金额相比2019年增长了311%,2020年勒索病毒的暴利让更多黑客组织开始使用勒索病毒进行攻击,以前大多数勒索病毒主要通过RDP爆破等方式进行传播,现在大部分勒索病毒开始使用各种不同类型的恶意软件进行传播,所以企业中了任何一款流行的恶意软件之后,黑客组织都有可能通过这些流行的恶意软件来传播勒索病毒,都有中勒索病毒的可能,通过数据可以预见2021年勒索病毒会变的更加流行,并且会更加具有针对性,由于勒索病毒的暴利,勒索病毒攻击活动在未来几年仍然是企业面临的最大的网络安全威胁之一,勒索病毒的攻击手法也会越来越多,攻击方式也会越来越复杂。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |