ransom.avaddon.

短生物

ransom.avaddon是Mal必威平台APPwareBytes的检测名称，适用于俄罗斯原产地的一家赎金软件服务。

症状

受害者将找到命名的Ransome注释：[随机数] -readme.html

和此通知：

感染类型和来源

ransom.avaddon被贩卖到刑事关联公司作为赎金软件的服务（RAAS）应变。自2019年以来一直存在于2020年6月，由于MALSPAM活动，它有一些真正的牵引力。后来它开始在网络和RDP上促进其附属公司的提高利率。Avaddon Ransomware使用AES-256 + RSA-2048在离线模式下执行加密以加密文件。
通常，使用RAAS，您将看到附属公司运行不同的分发向量，并查看彼此的肩膀，以查看最佳工作。可能是因为这种模型，我们已经看到了博客，僵尸网络在Malspam广告系列中，通过利用套件（Rig-ek），最近由Brute强迫RDP和VPN凭据进行传播。

后果

就像许多其他赎金厂运营商Avaddon也通过威胁宣传其受害者的压力增加了exfiltrated数据在这一点暗网，并通过表演DDOS攻击。敲诈勒索/数据泄漏过程通常遵循以下步骤：

• 泄漏警告：在最初获得对受害者网络的访问之后，Avaddon演员在受害者网络上留下了赎金说明，并将“泄漏警告”发布到Avaddon黑暗Web泄漏网站。警告由文件和访问受害者网络的访问证明的屏幕截图组成。
• 5％泄漏：如果受害者不在3至5天内快速支付赎金，Avaddon演员通过泄露被盗文件的一部分来增加受害者的压力。Avaddon Actors通过将小型.zip文件上传到Avaddon的黑暗Web泄漏网站来泄漏此数据。
• 完全泄漏：如果在5％泄漏后未支付赎金，则Avaddon Actors将在Avaddon Dark Web泄漏网站的“完整转储”部分中的大型.zip文件中的所有exftrtrated数据发布。

保护

必威平台APPMalwarebytes通过使用反赎金软件技术和实时保护，保护业务和家庭用户免受ransom.darkside的影响。

必威平台APPMalwarebytes ransom.avaddon

家庭修复

必威平台APPMalwareBytes可以在没有进一步的用户交互的情况下检测和删除ransom.sekhmet。

1. 请下载malware必威平台APPbytes.到你的桌面。
2. 双击mbsetup.exe.并按照提示安装程序。
3. 当你的必威平台APPWindows的Malwarebytes.安装完成后，该程序打开了欢迎来到Malwarebytes屏幕。必威平台APP
4. 点击一下开始按钮。
5. 点击扫描开始A.威胁扫描。
6. 点击隔离删除找到的威胁。
7. 如果出现提示完成删除过程，重新启动系统。

但是，请注意，删除此勒索软件不会解密您的文件。您只能从感染发生前的备份中获取您的文件。

商业补救措施

如何使用MalwareBytes Nebula控制台删除ransom.ava必威平台APPddon

您可以使用Malwarebyte必威平台APPs Anti-Malware Nebula控制台来扫描端点。

星云端点任务菜单

选择扫描+隔离选项。之后你可以检查检测页面看看发现了哪种威胁。

在这一点隔离页面如果有必要，您可以看到哪些威胁被隔离并恢复它们。

所有组分/技术检测都传递给修复引擎，以完全从受感染的系统中移除。该行业领先的技术采用专利的技术来识别单一威胁的所有队列或相关文件，并将它们全部删除，以防止恶意软件重新刺除本身。如果您使用的是Malwarebyt必威平台APPes RansomWare回滚技术，它允许您通过利用即时备份来绕时钟否定赎金软件的影响。

追踪/ IOC

C＆C服务器：

217.8.117.63

SHA256哈希：

FCF076DE61F050573DEF84A471DA9​​43D940A8C9FD8120021CA893FEA9BCAED3

05AF0CF40590AEF24B28FA04C6B4998B7AB3B7F26E60C507ADB84F3D837778F2