Maze(迷宫)勒索病毒见人开价,根据数据价值确定勒索金额

2019-06-05 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全御见威胁情报中心监测发现,新型勒索病毒Maze(迷宫)近日在国内造成部分感染。Maze勒索病毒擅长使用FalloutEK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面。

一、概述

腾讯安全御见威胁情报中心监测发现,新型勒索病毒Maze(迷宫)近日在国内造成部分感染。Maze勒索病毒也叫ChaCha勒索病毒,最早出现于20195月,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面。腾讯安全专家提醒用户小心访问这些网站,腾讯电脑专家可拦截查杀Maze(迷宫)勒索病毒。


Maze(迷宫)病毒通过大量混淆代码来对抗静态分析,使用RSA+Salsa20方式加密文件,被加密的文档在未得到密钥时暂无法解密。加密完成后对文件添加随机扩展后缀,并留下名为DECRYPT-FILES.html的勒索说明文档。值得一提的是,该病毒声称,解密赎金额度取决于被感染电脑的重要程度(个人电脑,办公电脑,服务器),这意味着高价值系统受攻击后解密付出的代价也会相应的更高。


二、分析

病毒通过外壳程序在内存中解密执行真正的勒索Payload

查看dump出的勒索payload可知代码有大量混淆,用于静态分析对抗干扰

简单去混淆后可看出其内部call替代执行流程

病毒加密白名单目录

Games 、Tor Browser ProgramData cache2\entries Low\Content.IE5 

User Data\Default\Cache、All UsersAhnLab

白名单文件名:

DECRYPT-FILES.html、autorun.infboot.inidesktop.inintuser.datconcache.dbbootsect.bakntuser.dat.logthumbs.dbBootfont.bin

 

病毒加密文件前会导入相关的RSA公钥信息


使用文件映射的方式对文件数据进行读写访问


加密前会判断文件感染标志,文件末尾存在数据0x66611166则表示该文件已被加密

调用2CryptGenRandom对每个文件随机生成文件加密密钥

最终使用salsa20算法对文件进行加密

加密后的salsa20密钥信息将存放与文件尾部

文件加密完成后同样会删除系统卷影信息

被加密后文件结构包含以下三部分内容:被加密内容+被加密的文件密钥+0x66611166标识

文件被加密添加随机扩展后缀


系统被感染后留下名为DECRYPT-FILES.html的勒索说明文件(个别病毒样式略有不同),同时修改桌面壁纸为黑底。


三、安全建议

企业用户:

1、尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登录。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。


8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码

2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs

Md5

9823800f063a1d4ee7a749961db7540f

345d140139d2d11713b06f1cd9a5669e

f83fb9ce6a83da58b20685c1d7e1e546

a0dc59b0f4fdf6d4656946865433bcce

电脑管家 V16

全新上线 更轻更快