重新回顾Avaddon勒索病毒解密原理

admin 2022年9月16日08:43:37移动安全评论2 views673字阅读2分14秒阅读模式

安盛是一家总部位于法国巴黎的跨国保险集团,是目前全球最大保险集团。昨日,该集团发表声明说,安盛下属机构Asia Assistance遭到勒索软件攻击,影响了其在泰国、马来西亚、中国香港和菲律宾的IT运营。此外,攻击造成安盛在泰国的下属机构Inter Partners Asia处理的“某些数据”泄露。


Avaddon勒索病毒团伙声称对此次袭击事件负责,并威胁他们将发动DDoS攻击以摧毁受害者的网站或网络,直到安盛集团主动联系并开始就支付赎金进行谈判为止。



逆向工程是一门艺术


好几个月前,互联网公开了一份论文,关于解密Avaddon勒索病毒的原理。当时一发现就仔细看了下,我们也能猜测论文作者肯定花费了大量时间投入对其深入逆向,然后自己实验了下记录了如下的笔记,发现确实存在缺陷,这也是之前对其分析不够深入的原因,逆向还是得非常细致才行呀,没想到Avaddon突然又火了起来。从我的实验截图这里可以发现它没有销毁对应的密钥,只要不关机重启系统或者终止勒索病毒进程,则密钥会在进程内存区域中,然后解密需要做的是就是找到密钥位置然后提取出来并测试是否能解密,不过之后发布的新版本Avaddon已经修复了这个缺陷,已经没有效果了。

重新回顾Avaddon勒索病毒解密原理

重新回顾Avaddon勒索病毒解密原理


再举一个例子,比如Ryuk勒索病毒已经成功的销毁了密钥,加密完成后不会存在内存中。

重新回顾Avaddon勒索病毒解密原理


链接

https://github.com/JavierYuste/AvaddonDecryptor

https://arxiv.org/pdf/2102.04796.pdf

原文始发于微信公众号(OnionSec):重新回顾Avaddon勒索病毒解密原理

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月16日08:43:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  重新回顾Avaddon勒索病毒解密原理 http://cn-sec.com/archives/700157.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: