Avaddon勒索病毒解密工具及原理

简介

Avaddon勒索病毒被笔者称为2020年全球十大流行勒索病毒之一，其首次出现于2020年6月在俄罗斯某地下黑客论坛开始出售，该勒索病毒使用C++语言进行编写，采用RSA-2048和AES-256加密算法对文件进行加密，该勒索病毒的传播方式多种多样，前期主要通过垃圾邮件附件JS/PowerShell恶意脚本等无文件技术进行传播，免杀效果非常好，发展到后面通过Phorpiex僵尸网络进行传播，同时还发现该勒索病毒通过垃圾邮件附带Excel4.0宏恶意代码进行传播。

该勒索病毒最新变种加密后的文件，如下所示：

勒索提示信息文件内容，如下所示：

通过avaddonbotrxmuyl.onion打开勒索解密网站，如下所示：

输入用户ID数据，如下所示：

解密工具

国外安全研究人员发布了一款Avaddon勒索病毒解密工具，解密工具源代码地址：

https://github.com/JavierYuste/AvaddonDecryptor，笔者下载了此勒索病毒的解密工具，通过Avaddon勒索病毒的病毒样本进行测试，发现确实可以解密Avaddon勒索病毒，解密步骤：

1.以管理员身份打开ProcExp工具，找到Avaddon勒索病毒进程，然后挂起进程，并记下该进程的PID，如下所示：

2.以管理员身份打开cmd，使用procdump工具，转储Avaddon勒索病毒进程内存数据，如下所示：

3.以管理员身份打开cmd，运行如下解密命令，调用解密脚本main.py，如下所示：

4.解密完成之后，如下所示：

解密原理

笔者深入研究这款勒索病毒解密工具的源码，其原理就是通过暴力破解的方式，从内存中暴力搜寻解密的Key，然后通过搜索到的Key解密文件，详细过程如下：

1.暴力搜索匹配DUMP文件中的key数据，如下所示：

2.通过搜索到的key解密文件，然后与原文件进行对比，如果匹配成功，则说明找到了解密的key，如下所示：

3.然后通过上面找到的key解密文件，如下所示：

4.解密整个系统文件的函数如下所示：

5.去除最后的24个字节+512个字节的特征数据，如下所示：

6.利用解密key，调用Decrypt.exe解密文件程序解密文件，如下所示：

这款勒索病毒的解密方式与此前LooCipher勒索病毒的解密工具使用的解密方式基本一样，都是通过暴力搜索DUMP文件中可能的key，然后再使用AES算法解密文件。

总结

目前大部分主流的勒索病毒都是无法解密的，一些企业在中了勒索病毒之后，为了解密重要数据，保证业务的正常运行，会选择向勒索病毒黑客组织交纳赎金，此前有报道指出勒索病毒黑客组织在2020年至少赚取了3.5亿美元的赎金，这个赎金金额相比2019年增长了311%，2020年勒索病毒的暴利让更多黑客组织开始使用勒索病毒进行攻击，以前大多数勒索病毒主要通过RDP爆破等方式进行传播，现在大部分勒索病毒开始使用各种不同类型的恶意软件进行传播，所以企业中了任何一款流行的恶意软件之后，黑客组织都有可能通过这些流行的恶意软件来传播勒索病毒，都有中勒索病毒的可能，通过数据可以预见2021年勒索病毒会变的更加流行，并且会更加具有针对性，由于勒索病毒的暴利，勒索病毒攻击活动在未来几年仍然是企业面临的最大的网络安全威胁之一，勒索病毒的攻击手法也会越来越多，攻击方式也会越来越复杂。