Avaddon est un cryptovirus qui a été repéré pour la première fois par le chercheur en cybersécurité GrujaRS[1] en juin 2020. Selon les experts, ce ransomware peut être prévu d’être exceptionnellement actif car les criminels derrière lui appliquent toutes sortes de stratégies de diffusion, y compris Phorphiex / Trik Botnet, les attaques de spam avec clins d’œil, Ransomware-as-an-Affiliate (RaaS) pour les pirates russes, exploitez les kits et plus encore.
L’exécutable du rançongiciel Avaddon (temp27472466.exe ou img164186.jpg.js) exécute les commandes PowerShell et Bitsadmin dans% Temp% pour activer le rançongiciel. Le logiciel de cryptage de fichiers intégré analyse la machine pour les extensions de fichier compatibles et verrouille celles qu’il a reconnues avec succès en appliquant l’extension de fichier.avdn à chacune d’entre elles. Le virus remplace également l’arrière-plan du bureau et crée une note de rançon tag :google.com,2013 :googlealerts/feed :12559845663845506147-readme.html (au lieu de l’ID, les gens voient le numéro d’identification unique), qui redirige vers le site de paiement TOR, qui demande aux victimes d’acheter des Bitcoins et de payer pour l’Avaddon General Decryptor 350 USD en Bitcoins.
Nom
Avaddon
Classement international
Ransomware
Distribution
Phorphiex / Trik Botnet, pièces jointes de spam IMG123101.jpg malveillantes, RDP non protégés, kits d’exploitation, liens de téléchargement de logiciels infectés, RaaS proposé sur les forums de piratage russes, etc.
Fichiers connexes
temp27472466.exe[2], Img164186.jpg.js, sava.exe
Extension de fichier
Le ransomware change l’extension des fichiers personnels des personnes en.avdn
Remarque
En tant que virus de chiffrement de fichiers typique, il remplace l’arrière-plan du bureau par la note «Tous vos fichiers ont été chiffrés» et génère un fichier HTML tag :google.com,2013 :googlealerts/feed :12559845663845506147-readme.html
Liste d’exclusion
Le ransomware est programmé pour ignorer les pays de la CEI en initiant l’autodestruction
La taille du ransomware
Ce n’est pas statique. Il peut varier de 350 USD à 900 UAS en fonction de la quantité de données cryptées
Décryptable?
Les fichiers.avdn ne peuvent pas être récupérés gratuitement. Des experts ont fourni l’analyse du virus et il semble qu’il utilise des identifiants en ligne qui ne peuvent pas être déchiffrés sans clé unique
Élimination
La suppression automatique est la seule option pour se débarrasser d’une cyber-infection dangereuse
Les ransomwares peuvent déclencher des dysfonctionnements de Windows en compromettant les registres, les fichiers de démarrage, les bibliothèques, etc. Pour réparer de tels dommages, essayez d’exécuter l’utilitaire Reimage Reimage Cleaner Intego
Le virus rançongiciel Avaddon est un nouveau venu sur le marché des extorsionneurs de cryptes. Néanmoins, les experts voient son potentiel pour devenir une cyber-menace répandue en concurrence avec des familles comme GandCrab, Djvu ou Jigsaw. Ces présomptions sont basées sur les journaux d’activité et le taux d’infections.
Selon les chercheurs, les campagnes menées par les criminels derrière ce ransomware montrent une dynamique positive. Selon la firme de cybersécurité Appriver, les spams distribués via le botnet Phorphiex[3] autonome a atteint plus de 300 victimes potentielles en quelques jours. De plus, le ransomware peut être diffusé par les parties affiliées, les pirates russes essentiellement, car le virus rançongiciel Avaddon est proposé en tant que Ransomware-as-an-Affiliate, payant aux distributeurs affiliés 65% de la rançon.
Cependant, les pays de l’ancienne Communauté des États indépendants (CEI) sont peu susceptibles de rencontrer ce malware. Selon ses fondateurs, le virus possède une commande automatique, qui lance la suppression du virus Avaddon par défaut si le système détecte la disposition du clavier AZ, AM, BY, KZ, KG, MD, RU, TJ, UZ, UA, GE et TM.
Les autres pays du monde entier courent un risque élevé de se familiariser avec le virus de fichier.avdn. Lors de l’exécution du fichier sava.exe malveillant, le virus modifie l’image d’arrière-plan et crée un nouveau répertoire, par exemple, le dossier Z. En outre, tous les fichiers personnels sont verrouillés à l’aide d’un algorithme de chiffrement sophistiqué (AES, RSA, ChaCha ou combinaison), puis lance le tag :google.com,2013 :googlealerts/feed :12559845663845506147-readme.html note, qui une fois cliqué lance le site Web TOR et affiche les instructions suivantes:
Votre réseau a été infecté par Avaddon
Tous vos documents, photos, bases de données et autres fichiers importants ont été cryptés et vous ne pouvez pas les décrypter vous-même. Mais ne vous inquiétez pas, nous pouvons vous aider à restaurer tous vos fichiers !
La seule façon de restaurer vos fichiers est d’acheter notre logiciel spécial – Avaddon General Decryptor. Nous seuls pouvons vous fournir ce logiciel et nous seuls pouvons restaurer vos fichiers !
Vous pouvez obtenir plus d’informations sur notre page, qui est située dans un réseau caché Tor.
Comment accéder à notre page
Télécharger le navigateur Tor – hxxps: //www.torproject.org/
Ouvrir le lien dans le navigateur Tor – avaddonbotrxmuyl.onion
Suivez les instructions sur cette page
Votre identifiant:
N’ESSAYEZ PAS DE RECUPERER LES FICHIERS VOUS-MÊME !
NE MODIFIEZ PAS LES FICHIERS CRYPTÉS !
Sinon, vous risquez de perdre tous vos fichiers pour toujours !
Le site Web TOR informe les utilisateurs de la taille du remboursement (varie de 350 à 900 $) et fournit un guide détaillé sur la façon d’acheter des Bitcoins et d’effectuer le paiement. De plus, les gens peuvent trouver un chat d’assistance, une page de test de décryptage Avaddon gratuite, une page d’aide et similaire.
Le virus rançongiciel Avaddon modifie l’arrière-plan, verrouille les fichiers et exige de payer la rançon en Bitcoins. Sinon, les fichiers personnels seront définitivement supprimés
Naturellement, les utilisateurs ont un choc en trouvant leurs fichiers verrouillés par des fichiers de virus.avdn et c’est compréhensible. Non seulement le fait que votre accès aux fichiers personnels soit restreint vous inquiète. Cependant, les gens doivent également tenir compte du fait que le fait d’avoir un virus rançongiciel sur le système le rend extrêmement vulnérable à d’autres cyberattaques, par exemple, l’infiltration de chevaux de Troie ou de logiciels espions.
Par conséquent, il est important de supprimer le rançongiciel Avaddon dès que possible. Si vous avez trouvé vos fichiers verrouillés, n’hésitez pas et redémarrez le système en mode sans échec pour mettre en quarantaine les processus malveillants, tels que sava.exe. De cette façon, le ransomware n’interférera pas avec votre outil de sécurité et vous pourrez lancer une analyse complète du système.
À ce stade, nous recommandons aux utilisateurs de s’appuyer sur l’outil de sécurité le plus robuste, tel que SpyHunter 5Combo Cleaner, Malwarebytes et similaires. Attention, toutes les entrées malveillantes exécutées par ce ransomware ne peuvent pas être détectées. Prenez par exemple un fichier img164186.jpg.js malveillant, qui est reconnu par 35 outils AV sur 65 possibles. Ainsi, l’utilisation d’un programme de sécurité faible peut aboutir à un échec de la suppression d’Avaddon.
Une multiplicité de méthodes sont appliquées pour diffuser le ransomware dans le monde entier
Selon les chercheurs, ce ransomware se démarque de la foule car ses développeurs diffusent le ransomware de manière extrêmement active. Les criminels eux-mêmes utilisent une stratégie de diffusion de base, connue sous le nom de spam.
Les e-mails contenant des pièces jointes malveillantes sont distribués par Phorphiex / Trik Botnet, qui est une énorme campagne capable de diffuser des centaines de milliers d’e-mails à la fois (plus de 300 000 ar une fois). Les détails de l’e-mail malveillant sont les suivants:
com (bien que cela puisse différer)
Le crypto-ransomware Avaddon est généralement diffusé via des pièces jointes malveillantes jpg
La pièce jointe jpg est, en fait, un fichier JavaScript malveillant, qui une fois ouvert télécharge une charge utile de ransomware malveillant. Néanmoins, ce virus particulier peut être distribué par d’autres moyens. En effet, il est proposé en tant que RaaS, Ransomware-as-a-service, ce qui signifie que les développeurs de ce virus ne sont pas les seuls à distribuer le malware. Selon NoVirus.uk[4] chercheurs, les affiliés peuvent restituer leurs propres moyens de distribution pour infecter les PC, puis percevoir des commissions pour chaque rançon payée. Les autres moyens pouvant être utilisés pour diffuser cet outil :
- Liens intégrés dans les spams
- Vulnérabilités logicielles et kits d’exploitation
- Installateurs de logiciels piratés
- Keygens, logiciels fissures
- Fausse mise à jour de Flash Player (ou similaire)
- Ensembles de logiciels gratuits partagés sur des sites Web louches
- Connexions Bureau à distance mal protégées, etc
Procédure de suppression du rançongiciel Avaddon
Comme nous l’avons déjà mentionné dans la première partie de cet article, la suppression du rançongiciel Avaddon ne peut être lancée que d’une seule manière – en utilisant un programme de sécurité professionnel qui dispose de la dernière base de données de virus, d’un scanner puissant et de possibilités de suppression de virus. Nos programmes recommandés sont Malwarebytes et SpyHunter 5Combo Cleaner, mais vous pouvez utiliser n’importe quelle application de vos préférences.
Si, cependant, vous ne pouvez pas supprimer le virus Avaddon du système car il enfreint le moteur AV et le maintient désactivé tout le temps, redémarrez le système d’exploitation Windows et démarrez-le en mode sans échec avec réseau. De cette façon, tous les processus malveillants seront désactivés et vous pourrez démarrer l’analyse de sécurité.
La note de rançon d’Avaddon redirige vers le site de paiement TOR, ce qui explique ce qui s’est passé et explique comment acheter des Bitcoins
Une fois le ransomware supprimé, vous pouvez commencer à penser à la récupération des fichiers.avdn. Comme l’ont souligné les experts en cybersécurité, il n’y a pas de décrypteur gratuit pour ce virus. Par conséquent, vous devez choisir si vous allez payer la rançon (non recommandé), utiliser des sauvegardes ou appliquer d’autres méthodes de récupération de données répertoriées ci-dessous.
Reimage Intego a un scanner limité gratuit. Reimage Intego offre plus grâce à l’analyse lorsque vous achetez sa version complète. Lorsque le scanner gratuit détecte des problèmes, vous pouvez les résoudre à l’aide de réparations manuelles gratuites ou vous pouvez décider d’acheter la version complète afin de les résoudre automatiquement.
Supprimer Avaddon en utilisant le mode sans échec avec réseau
Un environnement en mode sans échec est requis pour une élimination réussie des ransomwares.
Windows 7 / Vista / XP
Cliquez sur Démarrer → Arrêter → Redémarrer → OK.
Lorsque votre ordinateur devient actif, appuyez plusieurs fois sur F8 jusqu’à ce que la fenêtre Options de démarrage avancées s’affiche.
Sélectionnez Mode sans échec avec réseau dans la liste
Windows 10 / Windows 8
Sélectionnez maintenant Dépannage → Options avancées → Paramètres de démarrage et enfin appuyez sur Redémarrer.
Une fois que votre ordinateur devient actif, sélectionnez Activer le mode sans échec avec réseau dans la fenêtre Paramètres de démarrage.
Connectez-vous à votre compte infecté et démarrez le navigateur. Téléchargez Reimage Reimage Cleaner Intego ou un autre programme anti-spyware légitime. Mettez-le à jour avant une analyse complète du système et supprimez les fichiers malveillants qui appartiennent à votre rançongiciel et terminez la suppression d’Avaddon.
Si votre ransomware bloque le mode sans échec avec réseau, essayez une autre méthode.
Supprimer Avaddon à l’aide de la restauration du système
Si vous ne pouvez pas activer le mode sans échec pour une raison quelconque, vous pouvez essayer de vous débarrasser des fichiers de ransomware malveillants en activant le point de restauration du système qui a été créé avant l’attaque du ransomware Avaddon.
Bonus: récupérez vos données
Le guide présenté ci-dessus est censé vous aider à supprimer Avaddon de votre ordinateur. Pour récupérer vos fichiers cryptés, nous vous recommandons d’utiliser un guide détaillé préparé par des experts en sécurité de 2-spyware.com.
Les méthodes qui peuvent être utilisées pour déverrouiller les fichiers de virus.avdn
Si vos fichiers sont cryptés par Avaddon, vous pouvez utiliser plusieurs méthodes pour les restaurer :
Data Recovery Pro
Ce logiciel tiers peut permettre aux victimes de ransomwares de récupérer gratuitement au moins certains des fichiers encodés.
Téléchargez Data Recovery Pro;
Suivez les étapes de la configuration de la récupération de données et installez le programme sur votre ordinateur
- Lancez-le et analysez votre ordinateur pour les fichiers cryptés par le rançongiciel Avaddon
- Restaurez-les
ShadowExplorer peut être utile pour ceux qui ne peuvent pas renommer les fichiers.avdn sans payer la rançon
Téléchargez Shadow Explorer (http://shadowexplorer.com/);
Suivez un assistant de configuration de Shadow Explorer et installez cette application sur votre ordinateur;
- Lancez le programme et parcourez le menu déroulant dans le coin supérieur gauche pour sélectionner le disque de vos données cryptées. Vérifiez quels dossiers sont là;
- Faites un clic droit sur le dossier que vous souhaitez restaurer et sélectionnez «Exporter». Vous pouvez également sélectionner où vous souhaitez le stocker.
Malheureusement, aucun décrypteur Avaddon gratuit n’est lancé
Même s’il n’y a pas de décrypteur pour ce virus malveillant, ne vous précipitez pas pour payer la rançon. Faites des copies à froid des fichiers cryptés et téléchargez l’échantillon du virus sur les sites Web appartenant à des chercheurs de ransomware.
tel que Reimage Reimage Cleaner Intego Vous pouvez facilement profiter d’une connexion Internet sans risque de piratage en utilisant un VPN d’accès Internet privé Cette entrée a été publiée le 2020-06-12 à 07 :36 et est classée sous Ransomware, Virus.