简介

Avaddon讹诈病毒被笔者称为2020年全球十大盛行讹诈病毒之一，其初次呈现于2020年6月在俄罗斯某公开黑客论坛开端出卖，该讹诈病毒运用C++言语停止编写，采用RSA-2048和AES-256加密算法对文件停止加密，该讹诈病毒的传播方式多种多样，前期主要经过渣滓邮件附件JS/PowerShell歹意脚本等无文件技术停止传播，免杀效果十分好，开展到后面经过Phorpiex僵尸网络停止传播，同时还发现该讹诈病毒经过渣滓邮件附带Excel4.0宏歹意代码停止传播。

该讹诈病毒最新变种加密后的文件，如下所示：

讹诈提示信息文件内容，如下所示：

经过avaddonbotrxmuyl.onion翻开讹诈解密网站，如下所示：

输入用户ID数据，如下所示：

解密工具

国外平安研讨人员发布了一款Avaddon讹诈病毒解密工具，解密工具源代码地址：

https://github.com/JavierYuste/AvaddonDecryptor，笔者下载了此讹诈病毒的解密工具，经过Avaddon讹诈病毒的病毒样本停止测试，发现的确能够解密Avaddon讹诈病毒，解密步骤：

1.以管理员身份翻开ProcExp工具，找到Avaddon讹诈病毒进程，然后挂起进程，并记下该进程的PID，如下所示：

2.以管理员身份翻开cmd，运用procdump工具，转储Avaddon讹诈病毒进程内存数据，如下所示：

3.以管理员身份翻开cmd，运转如下解密命令，调用解密脚本main.py，如下所示：

4.解密完成之后，如下所示：

解密原理

笔者深化研讨这款讹诈病毒解密工具的源码，其原理就是经过暴力破解的方式，从内存中暴力搜索解密的Key，然后经过搜索到的Key解密文件，细致过程如下：

1.暴力搜索匹配DUMP文件中的key数据，如下所示：

2.经过搜索到的key解密文件，然后与原文件停止比照，假如匹配胜利，则阐明找到理解密的key，如下所示：

3.然后经过上面找到的key解密文件，如下所示：

4.解密整个系统文件的函数如下所示：

5.去除最后的24个字节+512个字节的特征数据，如下所示：

6.应用解密key，调用Decrypt.exe解密文件程序解密文件，如下所示：

这款讹诈病毒的解密方式与此前LooCipher讹诈病毒的解密工具运用的解密方式根本一样，都是经过暴力搜索DUMP文件中可能的key，然后再运用AES算法解密文件。

感谢您的来访，获取更多精彩文章请收藏本站。