Операторы шифровальщика Avaddon прекратили работу и предоставили изданию Bleeping Computer ключи для расшифровки данных жертв.
Утром 11 июня 2021 года журналисты получили анонимную наводку (якобы от ФБР) на защищенный паролем файл ZIP (Decryption Keys Ransomware Avaddon), а также пароль от него. Архив содержал три файла, показанные на скриншоте ниже.
Показав полученные файлы экспертам, Фабиану Восару из Emsisoft и Майклу Гиллеспи из Coveware, журналисты установили, что полученные ими ключи дешифрования являются легитимными.
В общей сложности злоумышленники прислали изданию 2934 ключа для дешифрования данных, каждый из которых соответствует определенной жертве. Эксперты Emsisoft уже работают над созданием бесплатного инструмента для расшифровки данных, который обещают выпустить в течение следующих 24 часов или даже раньше (UPD: дешифровщик опубликован).
Все сайты Avaddon в настоящее время недоступны, и, похоже, шифровальщик прекратил работу. Более того, по данным журналистов, в последние дни фирмы, занимающиеся переговорами с вымогателями, отмечали безумную спешку операторов Avaddon, которые очень торопились завершить все выплаты выкупов. Хакеры оказывали давление на жертв, чтобы те заплатили как можно быстрее, а встречные предложения «переговорщиков» оставались без ответов.
Вероятнее всего, прекращение работы Avaddon связано с повышенным вниманием со стороны правоохранительных органов и правительств всего мира, которые всерьез заинтересовались шифровальщиками после недавних атак на критическую инфраструктуру и компании Colonial Pipeline и JBS.
«Недавние действия правоохранительных органов заставили некоторых злоумышленников понервничать и вот результат. Один выбыл, и будем надеяться, что другие скоро последуют за ним», — прокомментировал Bleeping Computer аналитик компании Emsisoft Бретт Кэллоу.
Издание отмечает, что публикация ключей для расшифровки данных – вовсе не беспрецедентный случай. В прошлом ключи обнародовали операторы малвари TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy и FonixLocker.