首次出现的第一个初始样本的时间戳为2020年6月3日，如下。

传播方式为恶意邮件，附件为伪装成图片后缀名的恶意js脚本。

无意执行完恶意脚本后会调用PowerShell从服务端下载恶意文件，该文件为实际的勒索软件，查实无数字签名，如下。

加密完成后系统里产生的新文件依然会被加密的原因主要是由于设置了一个名为update的计划任务，每隔十分钟就会启动一次本地的勒索软件，继续加密新产生的文件，如下。

从公网上公开的消息可知，之前针对的目标国家里有加拿大与日本，最后国内也已经有相关用户中招的案例，如下。

有通过Phorpiex/Trik僵尸网络进行传播，如下。

在此次大规模恶意邮件传播的活动中，追踪到的与此类似的有2020年2月Nemty勒索家族的“情书”恶意邮件传播案例。因为这些恶意邮件正文内容仅包含眨眼的;)文字表情，与本次恶意邮件传播活动中的邮件内容类似，同样是恶意js文件作为附件，如下是Nemty勒索家族传播案例邮件正文。

之前有对Avaddon勒索软件最初样本的加密流程与算法进行了详细分析（【流行威胁追踪】深度分析阿瓦顿（Avaddon）勒索软件），暂未发现缺陷能解密文件。

2020年6月12日捕获到新的Avaddon勒索变种，如下为第二代变种。

查实后存在无效的数字签名，如下。

伪装成RealVNC产品组件，如下。

时间戳如下，距离第一代相隔7天时间。

外壳程序执行过程中会申请内存空间，如下。

之后异或0x1A70，每个DWORD数据都异或累加4，例如第二个异或0x1A74，以此类推进行解密得到选中区域内容，后续分析解密出的内容为shellcode。

跳转到shellcode新的入口点执行，如下。

以上的shellcode会进行如下操作，设置内存访问属性，模拟PE文件内存加载。

将内存中释放出的PE文件进行dump，经过对比第一代样本发现相似度非常高，第二代变种所不同的是增加了反分析的手段，采用了流行勒索家族惯用的外壳伪装技巧，在内存中进行进程替换。

HASH

d17150af2caeec5da4029822d740137a

深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品均能有效检测防御此恶意软件，已经部署相关产品的用户可以进行安全扫描，检测清除此恶意软件，如图所示：