باج‌افزار Avaddon: افزودن پسوند avdn به انتهای فایل‌ها و درخواست باج ۱۵۰ تا ۳۵۰ دلاری

باج‌افزار Avaddon چیست؟

باج افزار Avaddon فایل‌های کاربران را با استفاده از AES-256 و RSA-2048 رمزنگاری می‌کند و سپس باجی معادل ۱۵۰ تا ۳۵۰ دلار یا بیشتر (تا ۹۰۰ دلار [۱]) به‌صورت بیت‌کوین به‌منظور بازگرداندن فایل‌ها درخواست می‌کند [۲].

توزیع این باج‌افزار از اوایل ژوئن ۲۰۲۰ آغاز شد. برای اولین بار، باج افزار Avaddon در یکی از forumهای هکری معرفی شد که ما نام آن را می‌دانیم ولی نمی‌خواهیم آن را تبلیغ کنیم. ماهیت این اخاذی‌ها برای ما آشنا به نظر می‌رسند، گرچه آن‌ها هر بار از ابتدا خلاقیت خود را طراحی می‌کنند اما سبک و سایر عناصر خلاقیت آن‌ها به‌راحتی حدس زده می‌شود.

باج افزار Avaddon کاربرانی با زبان‌های متفاوت را هدف قرار می‌دهد، که به توزیع بیشتر در سراسر جهان کمک می‌کند. با بررسی سایت onion باج‌افزار، این زبان‌ها به شرح زیر خواهد بود: انگلیسی، آلمانی، اسپانیایی، فرانسوی، ایتالیایی، پرتغالی، چینی، ژاپنی و کره‌ای.

باج‎افزار Avaddon در یک نگاه

نام: ویروس Avaddon

افزونه: avdn.

نوع: باج‎‌افزار

میزان باج: از ۱۵۰ تا ۳۵۰ دلار (گاهی اوقات تا ۹۰۰ دلار)

نام شناسایی‌شده: Ransom:Win32/Avaddon.PA!MTB

توضیح مختصر: این باج‌افزار فایل‌های قرار داشته روی سیستم موردحمله را از طریق رمزنگاری تغیر می‌دهد و درخواست باجی می‌کند که باید توسط قربانی پرداخت شود تا فایل‌هایش بازیابی شوند.

نشانه‌ها: این نوع ویروس فایل‌ها را با افزودن پسوند avdn به انتهای آن‌ها رمزنگاری می‌کند و همچنین یک شاخص one-of-a-kind تولید می‌کند. توجه داشته باشید که پسوند avdn بخش دوم آن است.

روش پخش شدن: این باج‌افزار می‌تواند با هک شدن از طریق پیکربندی ناامن RDP، با استفاده از پست‌های الکترونیک اسپم (موضوع پیام: Your new photo یا Do you like my photo) و پیوست‌های موذی (به‌عنوان‌مثال، Image.jpg.js.zip)، بارگیری‌های جعلی، بات نت (Phorphiex/Trik) ، بهره‌بردارها، تبلیغات موذی، تزریق وب، به‌روزرسانی‌های جعلی و فایل‌های نصبی آلوده‌شده یا ویرایش شده توزیع شود.

نمونه فایل‌های رمز شده[۳]: عکس زیر

کمپین اسپم Avaddon

این باج‌افزار چیست و چگونه به آن آلوده می‌شوید؟

باج‌افزار Avaddon جدید در یک کمپین گسترده اسپم که کاربران را در سراسر جهان هدف قرار داده، دوباره فعالیت خود را آغاز کرده است. اولین حمله Avaddon در یک کمپین اسپم است که یادآور باج‌افزارNemty  است.

در موجی از ایمیل‌ها با استفاده از موضوعاتی مانند Your new photo یا Do you like my photo که تنها حاوی یک چهره با لبخند است، یک downloader جاوا اسکریپت برای باج افزار Avaddon توزیع می‌شود.

همان‌طور که در عکس زیر نشان داده شده است، برای دریافت‌کننده فایل فقط به‌عنوان یک پرونده .jpg ظاهر می‌شود.

پیوست به این ایمیل‌ها یک فایل JavaScript است که به‌عنوان یک عکس JPG با اسامی مانند IMG145673.jpg خودش را جا زده است. مهم است که به یاد داشته باشید که ویندوز پسوند فایل را به‌طور پیش‌فرض پنهان می‌کند، حتی اگر این یک خطر امنیتی شناخته شده باشد.

جزئیاتی در مورد کامپیوتر آلوده‌شده به باج‌افزار Avaddon

یادداشت باج‌افزار با این الگو نمایش داده می‌شود: [number] -readme.html

نقل‌قول این پیام ترسناک بدین شرح است:

Your network has been infected by Avaddon
All your documents, photos, databases and other important files have been encrypted and you are not able to decrypt it by yourself. But don’t worry, we can help you to restore all your files!
The only way to restore your files is to buy our special software – Avaddon General Decryptor. Only we can give you this software and only we can restore your files!
You can get more information on our page, which is located in a Tor hidden network.
How to get to our page
Download Tor browser – https://www.torproject.org/
Install Tor browser
Open link in Tor browser – avaddonbotrxmuyl.onion
Follow the instructions on this page
Your ID:
NDctTkFiSm8ycFVVdGxRV3ZhVVl6Rmt0V3NEY***
DO NOT TRY TO RECOVER FILES YOURSELF!
DO NOT MODIFY ENCRYPTED FILES!
OTHERWISE, YOU MAY LOSE ALL YOUR FILES FOREVER!

این باج‌افزار تصویر زمینه را روی دسکتاپ با یک تصویر پیکسلی با متن جایگزین می‌کند که از شما خواسته است دستورالعمل‌ها را بخوانید.

All your files has been encrypted
Instruction XXXXXX-readme.html

مهم‌ترین خبر برای قربانی، علاوه بر یادداشت باج، سایت باج افزار است که در آن صفحه‌ای با تایمر با کد QR برای پرداخت وجود دارد.

محتوای صفحه اول:

Your network has been infected by Avaddon
Don’t worry, we can help you to restore all your files!
Avaddon General Decryptor price is 150 USD*
۴ : ۰۰ : ۰۰ : ۰۰
*If you don’t pay before the time runs out, the price will be doubled!
All your documents, photos, databases and other important files have been encrypted!
To restore all your files you need to buy our special software – Avaddon General Decryptor!
You can do it right now. Follow the instruction below. But remember that you do not have much time!
۱۵۰ USD
≈ ۰٫۰۱۶۲۸۳۷۸ BTC
۳Pg4atmvjJTE8nqFqzQ5Pug1SCtyKSuviy
NOT PAID
۱٫ Buy the Bitcoin cryptocurrency. You will find instructions how you can do it below.
۲٫ Send 0.01628378 BTC to the address: 3Pg4atmvjJTE8nqFqzQ5Pug1SCtyKSuviy (in ONE payment, this amount doesn’t include the transaction fee)
۳٫ The transaction will be confirmed after receiving 6 confirmations
۴٫ When the payment is confirmed, you can download the Avaddon General Decryptor.

Attention!
Please be careful and visually check the address after copy-paste (because on your PC there is probably a malware monitoring and changing the address in your clipboard)

صفحه دوم حاوی اطلاعات زیر است:

– What’s the matter?
Your computer has been infected with Avaddon Ransomware. All your files have been encrypted and you are not able to decrypt it by yourself. To decrypt your files, you have to buy the Avaddon General Decryptor.
– What can I do to get my files back?
You should buy the software Avaddon General Decryptor. It will scan your PC, network share, all connected devices, and check for encrypted files and decrypt them. Current price: 150 USD. We accept the Bitcoin cryptocurrency.
– What guarantees can you give me?
To make sure that our descriptor is working, you can decrypt 3 files for free. But these files must be images because images usually are not valuable.

چگونه باج‌گیر افزار Avaddon را از روی سیستم خود پاک کنیم؟

توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایل‌های شما وجود دارد، زیرا ما نمی‌توانیم تضمین کنیم که شما قادر به بازیابی آن‌ها خواهید بود. Malwarebytes و Emsisoft Emergency Kit می‌توانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامه‌ها نمی‌توانند اسناد، تصاویر یا پرونده‌های شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پرونده‌های شما به‌طور دائم به خطر می‌افتند. ما نمی‌توانیم مسئولیت از دست دادن پرونده‌ها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم.

پیشنهاد اول: از Malwarebytes برای حذف باج‌گیر افزار Avaddon استفاده کنید.

Malwarebytes یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای ضد دژافزاری برای ویندوز است. این نرم‌افزار قادر است بسیاری از دژافزارهایی را که سایر نرم‌افزارها قادر به تشخیص آن‌ها نیستند را نابود کند، بدون آنکه هزینه‌ای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده می‌شود، Malwarebytes همیشه رایگان بوده و ما آن را به‌عنوان ابزاری اساسی برای مبارزه با دژافزارها توصیه می‌کنیم.

اولین باری که Malwarebytes را نصب می‌کنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را می‌دهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باج‌گیر افزارهاست. بعد از گذشت دو هفته، به‌طور خودکار به نسخه اولیه رایگان برگردانده می‌شود که فقط هنگام اسکن، آلودگی‌های مخرب را تشخیص داده و پاک می‌کند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرم‌افزارهای آنتی‌ویروس اجرا خواهد شد.

مرحله ۱: Malwarebytes را دانلود کنید.

شما می‌توانید این نرم‌افزار را از این لینک[۴] دانلود کنید (از IP ایران لینک مورد نظر باز نمی‌شود).

مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.

هنگامی‌که دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایل‌های بارگیری شده در پوشه Downloads ذخیره می‌شوند.

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده‌شده را برای نصب Malwarebytes دنبال کنید.

هنگامی‌که نصبMalwarebytes  شروع می‌شود، شما Wizard راه‌اندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان می‌دهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.

مرحله ۴: گزینه Use Malwarebytes Free را انتخاب کنید.

پس از نصب Malwarebytes، از شما خواسته می‌شود که نسخه رایگان یا Premium را انتخاب کنید. نسخه Malwarebytes Premium شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت در برابر باج‌گیر افزار است، بااین‌حال ما از نسخه Free برای تمیز کردن رایانه استفاده خواهیم کرد.

روی Use Malwarebytes Free کلیک کنید.

مرحله ۵: روی Scan Now کلیک کنید.

هنگامی‌که نصب Malwarebytes تمام شد، این نرم‌افزار به‌طور خودکار اجرا می‌شود و پایگاه داده خود را به‌روزرسانی می‌کند. به‌منظور اسکن سیستم خود، روی دکمهScan  کلیک کنید.

مرحله ۶: صبر کنید تا اسکن Malwarebytes تمام شود.

Malwarebytes در این مرحله شروع به اسکن سیستم شما می‌کند تا دژافزارها و دیگر برنامه‌های موذی را شناسایی کند. این فرآیند ممکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه می‌کنیم تا به کارهای دیگر خود بپردازید و هرچند دقیقه یک‌بار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.

مرحله ۷: روی Quarantine  کلیک کنید.

هنگامی‌که اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه می‌شوید که آلودگی‌های ناشی از این باج‌گیر افزار را که توسط Malwarebytes شناسایی شده است را نشان می‌دهد. برای پاک کردن برنامه‌های مخربی که این نرم‌افزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.

مرحله ۷: سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes هم‌اکنون تمام فایل‌های موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک می‌کند. برای تکمیل فرآیند پاک‌سازی، این نرم‌افزار ممکن است از شما بخواهد که سیستم خود را مجدداً راه‌اندازی کنید.

هنگامی‌که فرآیند پاک‌سازی به اتمام رسید، شما می‌توانید Malwarebytes را ببندید.

پیشنهاد دوم: همچنین می‌توانید از SpyHunter برای پاکسازی این باج‌گیر افزار از روی سیستم آلوده استفاده کنید که نحوه استفاده از آن در اینجا [۵] نشان داده شده است.

پیشنهاد سوم: همچنین می‌توانید از WiperSoft AntiSpyware برای پاکسازی این باج‌گیر افزار از روی سیستم آلوده استفاده کنید [۶ و ۷].

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار Avaddon وجود دارد؟

متأسفانه در بیشتر موارد امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار Avaddon وجود ندارد زیرا کلید خصوصی برای بازگشایی فایل‌های رمزگذاری شده فقط در اختیار مجرمان سایبری قرار دارد. همچنین برای بازیابی پرونده‌های خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پرونده‌های شما وجود ندارد.

در نهایت لطفا دقت داشته باشید که در حقیقت فایل‌های شما ویروسی نشده است، بلکه توسط الگوریتم‌های رمزنگاری پیشرفته، رمز شده است. همانطور که قبلا توضیح داده شد برای بازیابی این فایل‌ها (یا در حقیقت بازگشایی قفل فایل‌های رمز شده) نیاز به یک کلید خصوصی است که در اختیار مجرمان اینترنتی است. حتی اگر مبلغ خواسته شده را به این مجرمان پرداخت کنید، هیچ ضمانتی وجود ندارد که آن‌ها این کلید خصوصی را در اختیار شما قرار دهند.
به همین علت نه به مجرمان اینترنتی و نه به هیچ فرد، تیم تخصصی یا غیرتخصصی، گروه و یا سازمانی وجهی جهت بازگشایی فایل‌هایتان پرداخت نکنید؛ زیرا حتی افراد ماهر نیز بدون کلید خصوصی مورد نظر نمی‌توانند فایل‌های شما را بازیابی کنند.
می‌توانید فایل‌های رمز شده‌ی خود را نگهداری کنید که اگر زمانی برای این باج‌گیر افزار یک ابزار رمزگشایی تولید شد، بتوانید آن‌‌ها را رمزگشایی کنید. همچنین برای اطمینان خاطر از اینکه ابزاری برای رمزگشایی فایل‌هایتان منتشر شده است یا نه می‌توانید به این لینک‌ها [۸-۱۰] مراجعه کنید.

منابع

[۱] https://www.2-spyware.com/remove-avaddon-ransomware.html

[۲] https://howtofix.guide/avaddon-ransomware

[۳] https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign

[۴] https://malwaretips.com/download-malwarebytes

[۵] https://www.2-viruses.com/remove-avaddon-avdn-ransomware

[۶] https://www.bugsfighter.com/remove-avaddon-ransomware-and-decrypt-avdn-files

[۷] https://malwarewarrior.com/how-to-remove-avaddon-ransomware-and-decrypt-avdn-files

[۸] https://www.nomoreransom.org/fa/index.html

[۹] https://noransom.kaspersky.com

[۱۰] https://www.emsisoft.com/ransomware-decryption-tools/free-download