最近,不知是出于什么原因,Avaddon勒索软件背后的黑客向安全研究人员主动寄出解密密钥。一封假装来自联邦调查局的电子邮件已经发出,其中包含一个密码和一个受密码保护的压缩文件的链接。该文件声称是Avaddon勒索软件的解密密钥。该文件被发送给来自EMSIsoft的名为Fabian Wosar的安全研究员和来自Coverware的Michael Gillespie。这两名研究人员调查了电子邮件所附的软件,并确定它是无害的,并且包含了为成为Avaddon勒索软件受害者的用户提供的解密密钥。Emsisoft与BleepingComputer分享了一个测试解密器,实验证明可以解密一个用Avaddon最近的样本加密的虚拟机。
Avaddon总共发布了2934个解密密钥,每个密钥对应于该组织的一个受害者。Emsisoft发布了一个免费的解密程序,任何该软件的受害者都可以用它来免费恢复他们的文件,该解密程序文件可以在这里访问到。
根据分析,Avaddon组织已经停止了恶意攻击活动。经确认托管在 Tor 网络隐藏服务上的 Avaddon 网站目前已经不可用,这说明该组织的活动已被关闭。
关闭背后的原因仍然未知,但可能与Colonial Pipelin事件以及美国的法律法规有关。今年美国燃油燃气管道运营商Colonial Pipeline遭到黑客攻击,被迫支付赎金。国土安全部发言人萨拉佩克在一份声明中表示,拜登政府正在采取进一步行动,以更好地保护我们国家的关键基础设施。运输安全管理局正与网络安全和基础设施安全局密切合作,与管道行业的公司进行协调,以确保它们采取必要措施,提高自身应对网络威胁的能力,并保护自己的系统。
Avaddon的历史
Avaddon于2020被发现,一开始只是通过垃圾邮件展开攻击,提供勒索软件即服务(RaaS),后来,攻击者开发出恶意广告及远程桌面攻击,甚至是在成功感染企业之后,进一步发动分布式服务阻断攻击以逼迫受害者支付赎金,Avaddon的活跃程度使得美国FBI与澳洲的网络安全中心曾公开警告企业小心来自Avaddon的攻击。
Avaddon组织首现于某俄罗斯黑客论坛,Avaddon勒索软件的特点有:
C++编写,使用WinAPI,不依赖第三方;支持Windows7以上版本;文件加密算法:AES256 + RSA2048;支持IOCP异步通知机制;支持内网扫描,如SMB扫描、DFS扫描;使用PowerShell的无文件落地;反检测机制,设置注册表来绕过UAC;加密的文件扩展名包括:MS Office文档、PDF、文本、数据库、图像文件和音频文件;多线程文件加密以获得最大性能;加密所有本地和远程和可访问驱动器;IOCP 支持并行文件加密;持续加密新写入的文件和新连接的媒体;能够跨网络共享(SMB、DFS)传播;多种传播选项(脚本、PowerShell、.EXE 有效负载 .DLL);payload 以管理员身份执行;加密隐藏文件和卷;删除垃圾、卷影副本 (VSS) 和其他还原点;终止禁止加密文件的进程。
为了谋取更多的利益,Avaddon组织会与其他组织合作,比如臭名昭著的Phorpiex僵尸组织。 该模式为典型的AaaS(Access as a Service,访问即服务),即Avaddon勒索团伙通过其他黑产团伙提供肉鸡访问权限来扩大勒索面,从而谋取更多的利益。 后来,Avaddon勒索组织又开发出了使用窃取数据威胁受害者缴纳赎金的获利模式。据统计,已有多个目标被Avaddon勒索组织在暗网上公开隐私文件,比如保险信息和项目档案等。
技术迭代过程
Avaddon 通常通过网络钓鱼活动通过包含混淆的 JPEG 或 ZIP 附件(实际上是带有宏的 JavaScript 或 Excel)的电子邮件进行传播。然而,勒索软件利用了其他几种感染媒介,包括被其他恶意软件(Smoke Loader、Phorpiex/Trik、Rigek 等)下载或在信息系统遭到破坏后直接传播,特别是通过远程桌面协议 (RDP) 和虚拟专用网络。
在一项调查中,Avaddon 的传播主要是依赖缺乏虚拟网络更新和不安全的密码,然后获得 Active Directory 域的最大权限,收集和泄露敏感数据,并在多台计算机上部署他的加密软件。
Avaddon 的加密机制避开了 Windows 系统的关键区域,允许受害者使用他们的计算机并目睹损坏。如果赎金未在十天(240 小时)内支付,该组织将在其数据泄露网站上公布所有被盗数据。
自第一个版本发布以来,Avaddon 勒索软件经过多次修改和改进,特别是在其加密机制和有效载荷方面:
早在 2020 年 6 月,开发人员就已经集成了通过 Powershell 启动有效载荷的能力,以解决防病毒软件对 Avaddon 的改进检测问题;
2021 年 1 月,Avaddon 增加了对 Windows XP 和 2003 的支持;
2021 年 2 月,开发人员修复了勒索软件加密机制中的一个漏洞。
攻击目标
Avaddon 勒索软件针对 IT 服务、批发和卫生等广泛领域的国际公共和私人组织。最近的受害者包括美国公司美国银行系统 (ABS)、比利时咨询公司 Finalyse 以及最近的马耳他政党和保险公司 Group AXA。
但是,该组织禁止使用者瞄准独立国家联合体 (CIS) 的国家/地区。此外,勒索软件在攻击期间会运行脚本以识别其目标的语言。如果检测到俄语或乌克兰语,则自动停止运行。
对称加密和非对称加密的区别是什么?
l 对称加密算法对称加密算法是应用较早的加密算法,技术成熟。 在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。 收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。 在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。 不足之处是,交易双方都使用同样钥匙,安全性得不到保证。 此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。 对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。 在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。 传统的DES由于只有56位的密钥,因此已经不适应当今分布式开放网络对数据加密安全性的要求。 1997年RSA数据安全公司发起了一项“DES挑战赛”的活动,志愿者四次分别用四个月、41天、56个小时和22个小时破解了其用56位密钥DES算法加密的密文。 即DES加密算法在计算机速度提升后的今天被认为是不安全的。 AES是美国联邦政府采用的商业及政府数据加密标准,预计将在未来几十年里代替DES在各个领域中得到广泛应用。 AES提供128位密钥,因此,128位AES的加密强度是56位DES加密强度的1021倍还多。 假设可以制造一部可以在1秒内破解DES密码的机器,那么使用这台机器破解一个128位AES密码需要大约149亿万年的时间。 (更深一步比较而言,宇宙一般被认为存在了还不到200亿年)因此可以预计,美国国家标准局倡导的AES即将作为新标准取代DES。 l 不对称加密算法不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。 在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。 加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。 不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。 显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。 由于不对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。 广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。 以不对称加密算法为基础的加密技术应用非常广泛。
如何找回SecureCRT密码
session保存位置secureCRT将每个session的配置文件保存在C:\Documents and Settings\Administrator\Application Data\VanDyke下的config文件夹。 根据session名找到对应的配置文件。 根据密文解密程序(python)From import Blowfishdef decrypt(password) :c1 = (5F B0 45 A2 94 17 D9 16 C6 C6 A2 FF 06 41 82 ( ,)(hex), _CBC, \x00*8)c2 = (24 A6 3D DE 5B D3 B3 82 9C 7E 06 F4 08 16 AA ( ,)(hex), _CBC, \x00*8)padded = (((hex))[4:-4])p = while padded[:2] != \x00\x00 :p += padded[:2]padded = padded[2:]return (UTF-16)print decrypt(xxx240f919a7ad1f6ce3a1fbf5a3671cf34bed1304c7ebe8de345);安装Crypto-zxvf pycrtyto-2.6.1python buildpython install如果报错,则安装python-devel yum install python-devel
华硕笔记本电脑win7密码忘了怎么办
查看华硕笔记本电脑win7密码:1、将制作好的【u深度u盘启动盘】插入电脑接口,开机按快捷键进入主菜单界面,选择“【03】运行U深度Win2003PE增强版(老机器)”下2、进入pe系统后,依次点开“开始-程序-密码管理-通用密码查看器”3、打开密码查看器工具后,首先点击“恢复hashes”按钮,4、这时工具会自动执行解密操作,等待解密完成后,勾选窗口中“手动解密”选项, 然后分别在下方SAM注册文件、系统注册文件、安全注册文件三个对应的选择栏中分别找到sam、system、security三个文件,再点击手动解密,如下图所示:5、解密过程中,工具会检测电脑中存在的用户信息。拖动下方的滚动条移动到密码信息栏,待密码解密完成,我们就能查看到开机密码了
发表评论