重新回顾Avaddon勒索病毒解密原理

安盛是一家总部位于法国巴黎的跨国保险集团，是目前全球最大保险集团。昨日，该集团发表声明说，安盛下属机构Asia Assistance遭到勒索软件攻击，影响了其在泰国、马来西亚、中国香港和菲律宾的IT运营。此外，攻击造成安盛在泰国的下属机构Inter Partners Asia处理的“某些数据”泄露。

Avaddon勒索病毒团伙声称对此次袭击事件负责，并威胁他们将发动DDoS攻击以摧毁受害者的网站或网络，直到安盛集团主动联系并开始就支付赎金进行谈判为止。

逆向工程是一门艺术

好几个月前，互联网公开了一份论文，关于解密Avaddon勒索病毒的原理。当时一发现就仔细看了下，我们也能猜测论文作者肯定花费了大量时间投入对其深入逆向，然后自己实验了下记录了如下的笔记，发现确实存在缺陷，这也是之前对其分析不够深入的原因，逆向还是得非常细致才行呀，没想到Avaddon突然又火了起来。从我的实验截图这里可以发现它没有销毁对应的密钥，只要不关机重启系统或者终止勒索病毒进程，则密钥会在进程内存区域中，然后解密需要做的是就是找到密钥位置然后提取出来并测试是否能解密，不过之后发布的新版本Avaddon已经修复了这个缺陷，已经没有效果了。

再举一个例子，比如Ryuk勒索病毒已经成功的销毁了密钥，加密完成后不会存在内存中。

链接

https://github.com/JavierYuste/AvaddonDecryptor

https://arxiv.org/pdf/2102.04796.pdf

原文始发于微信公众号（OnionSec）：重新回顾Avaddon勒索病毒解密原理