什麽是Retadup，如何危及密碼的安全性？

例如，Retadup是一個惡意軟件家族，它從來沒有像Trickbot那樣真正地吸引主流媒體的注意力。這看起來有點奇怪，因為雖然它從未真正成為最廣泛傳播的Windows蠕蟲病毒，但並沒有任何受害者短缺。沒有更好的證據證明，當Avast的安全研究人員與法國警方合作接管Retadup的命令與控制（C＆C）服務器之一時，他們設法在幾分鐘內對高達85萬台個人計算機進行了消毒。

這對安全社區來說是一個巨大的成功，但在我們開始之前，讓我們來看看Retadup是什麼。

Retadup - 一個功能強大的下載器，具有聰明的功能

趨勢科技是少數幾家對Retadup給予了極大關注的安全公司之一，它在2017年和2018年發布了一些技術文章。當時，惡意軟件處於針對大小目標的多種不同攻擊的中心，它被用於從加密貨幣採礦到信息竊取的任何事情。

最近，Retadup引起了Avast研究人員的注意，他們表示南美的不少用戶在幾個月內就被感染了。在此活動中，惡意軟件主要用於下載和激活加密貨幣礦工，儘管專家確實指出他們也看到它分發Stop勒索軟件以及Arkei密碼竊取程序。 Avast的研究人員拿到了一些樣本，仔細分析了他們，他們意識到在相關執法機構的幫助下，他們可能只能對整個行動造成相當大的打擊。

Avast與法國警方合作，將Retadup降下來

在仔細監控感染Retadup的PC如何從騙子的後端基礎設施接收命令之後，Avast的專家們發現，儘管其複雜程度，但Retadup在C＆C通信協議中存在嚴重的設計缺陷。如果被利用，這個漏洞將允許專家運行消毒腳本並從數十萬用戶的計算機中刪除Retadup（以及它留下的所有痕跡）。他們唯一需要的是訪問位於法國的C＆C服務器。為了得到它，他們與法國警察的網絡犯罪戰鬥部隊C3N取得聯繫，並尋求幫助。

手術相當精緻. Avast的專家在編寫和執行腳本之前必須仔細查看C＆C服務器上的所有內容。與此同時，惡意軟件運營商不知道發生了什麼是至關重要的。如果他們知道，他們會決定如果Retadup操作即將結束，它將以爆炸結束，而不是相對無害的加密貨幣礦工，他們會在數十萬台計算機上丟棄勒索軟件。因此，隱身至關重要。

運營C＆C服務器的託管服務提供商創建了硬盤驅動器的快照，並將其交給法國警方，後者又將其轉發給Avast的專家。這聽起來也比現在容易。託管公司必須在不警告惡意軟件作者的情況下創建快照，並且還必須確保人們的隱私受到保護，這意味著讓Avast的研究人員只能訪問C＆C的特定部分。當專家分析服務器時，他們看到了惡意軟件感染的痕跡。事實證明，具有諷刺意味的是，Retadup的作者已經粗心地用另一種惡意軟件來感染自己。

後來做了很多艱苦的工作，消毒腳本已經完成，它被放在一台應該取代C＆C並停止Retadup的服務器上。最終，在7月份，法國警察獲得了必要的權限，服務器被切換，幾秒鐘內就刪除了數千個Retadup感染。其餘的C＆C基礎設施位於美國，這意味著FBI也必須參與其中。在服務器被刪除後，惡意軟件的作者無法與他們的蠕蟲通信。