什么是Retadup，如何危及密码的安全性？

例如，Retadup是一个恶意软件系列，它从来没有像Trickbot那样真正地吸引主流媒体的注意力。这看起来有点奇怪，因为虽然它从未真正成为最广泛传播的Windows蠕虫病毒，但并没有任何受害者短缺。没有更好的证据证明，当Avast的安全研究人员与法国警方合作接管Retadup的命令与控制（C＆C）服务器之一时，他们设法在几分钟内对高达85万台个人计算机进行了消毒。

这对安全社区来说是一个巨大的成功，但在我们开始之前，让我们来看看Retadup是什么。

Retadup - 一个功能强大的下载器，具有聪明的功能

趋势科技是少数几家对Retadup给予了极大关注的安全公司之一，它在2017年和2018年发布了一些技术文章。当时，恶意软件处于针对大小目标的多种不同攻击的中心，它被用于从加密货币采矿到信息窃取的任何事情。

最近，Retadup引起了Avast研究人员的注意，他们表示南美的不少用户在几个月内就被感染了。在此活动中，恶意软件主要用于下载和激活加密货币矿工，尽管专家确实指出他们也看到它分发Stop勒索软件以及Arkei密码窃取程序。 Avast的研究人员拿到了一些样本，仔细分析了他们，他们意识到在相关执法机构的帮助下，他们可能只能对整个行动造成相当大的打击。

Avast与法国警方合作，将Retadup降下来

在仔细监控感染Retadup的PC如何从骗子的后端基础设施接收命令之后，Avast的专家们发现，尽管其复杂程度，但Retadup在C＆C通信协议中存在严重的设计缺陷。如果被利用，这个漏洞将允许专家运行消毒脚本并从数十万用户的计算机中删除Retadup（以及它留下的所有痕迹）。他们唯一需要的是访问位于法国的C＆C服务器。为了得到它，他们与法国警察的网络犯罪战斗部队C3N取得联系，并寻求帮助。

手术相当精致. Avast的专家在编写和执行脚本之前必须仔细查看C＆C服务器上的所有内容。与此同时，恶意软件运营商不知道发生了什么是至关重要的。如果他们知道，他们会决定如果Retadup操作即将结束，它将以爆炸结束，而不是相对无害的加密货币矿工，他们会在数十万台计算机上丢弃勒索软件。因此，隐身至关重要。

运营C＆C服务器的托管服务提供商创建了硬盘驱动器的快照，并将其交给法国警方，后者又将其转发给Avast的专家。这听起来也比现在容易。托管公司必须在不警告恶意软件作者的情况下创建快照，并且还必须确保人们的隐私受到保护，这意味着让Avast的研究人员只能访问C＆C的特定部分。当专家分析服务器时，他们看到了恶意软件感染的痕迹。事实证明，具有讽刺意味的是，Retadup的作者已经粗心地用另一种恶意软件来感染自己。

后来做了很多艰苦的工作，消毒脚本已经完成，它被放在一台应该取代C＆C并停止Retadup的服务器上。最终，在7月份，法国警察获得了必要的权限，服务器被切换，几秒钟内就删除了数千个Retadup感染。其余的C＆C基础设施位于美国，这意味着FBI也必须参与其中。在服务器被删除后，恶意软件的作者无法与他们的蠕虫通信。