前言
Avaddon 勒索软件的第一次已知攻击是在 2020 年 2 月。Avaddon 使用使用C++语言进行编写,采用RSA-2048和AES-256加密算法对文件进行加密,将扩展名加密成 .avdn ,并使用 TOR 支付站点支付赎金,并从 2020 年 6 月开始作为 RaaS(勒索即服务)运营。该勒索家族在大规模网络钓鱼活动后声名狼藉,此外,它还对不支付赎金的受害者进行分布式拒绝服务 (DDoS) 攻击。
特征
当文件被加密时,勒索软件会在所有包含加密文件的文件夹中放置注释“XXXXXX_readme.txt”。本说明包含受害者支付赎金的说明。
勒索信
工具使用说明
重要提示
请务必先将恶意软件与系统隔离开来,否则它可能会反复锁定您的系统或加密文件。如果您当前的防病毒解决方案无法检测到恶意软件,可以使用 Emsisoft Anti-Malware 的免费试用版进行隔离。如果您的系统通过 Windows 远程桌面功能遭到入侵,我们建议更改所有允许远程登录用户的密码,并检查本地用户户中是否有攻击者可能添加的其他帐户。
如何解密文件
1. 从提供此“操作方法”文档的同一站点下载解密器。
2. 以管理员身份运行解密器。将显示许可条款,您必须通过单击“是”按钮来同意:
3. 接受许可条款后,将打开主解密器用户界面:
4. 默认情况下,解密器将预填充要使用当前连接的驱动器和网络驱动器进行解密的位置。可以使用“添加”按钮添加其他位置。
5. 解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中,可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。
6. 将要解密的所有位置添加到列表中后,单击“解密”按钮开始解密过程。屏幕将切换到状态视图,通知您文件的当前进程和解密状态:
7. 解密过程完成后,解密器将通知您。如果您需要个人记录的报告,可以通过单击“保存日志”按钮来保存它。如果需要,您也可以将其直接复制到剪贴板以粘贴到电子邮件或论坛帖子中。
可用的解密器选项
解密器当前实现以下选项:
保留加密文件 由于勒索软件不会保存有关未加密文件的任何信息,因此解密器无法保证解密的数据与之前加密的数据相同。因此,默认情况下,解密器会选择谨慎行事,并且在解密后不会删除任何加密文件。如果您希望解密程序在处理完任何加密文件后将其删除,则可以禁用此选项。如果磁盘空间有限,则可能需要这样做。
solar专业应急响应团队公众号
回复关键字【Avaddon】获取下载链接