一、概述
腾讯安全御见威胁情报中心监测发现,新型勒索病毒Maze(迷宫)近日在国内造成部分感染。Maze勒索病毒也叫ChaCha勒索病毒,最早出现于2019年5月,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面。腾讯安全专家提醒用户小心访问这些网站,腾讯电脑专家可拦截查杀Maze(迷宫)勒索病毒。
Maze(迷宫)病毒通过大量混淆代码来对抗静态分析,使用RSA+Salsa20方式加密文件,被加密的文档在未得到密钥时暂无法解密。加密完成后对文件添加随机扩展后缀,并留下名为DECRYPT-FILES.html的勒索说明文档。值得一提的是,该病毒声称,解密赎金额度取决于被感染电脑的重要程度(个人电脑,办公电脑,服务器),这意味着高价值系统受攻击后解密付出的代价也会相应的更高。
二、分析
病毒通过外壳程序在内存中解密执行真正的勒索Payload
查看dump出的勒索payload可知代码有大量混淆,用于静态分析对抗干扰
简单去混淆后可看出其内部call替代执行流程
病毒加密白名单目录
Games 、Tor Browser、 ProgramData、 cache2\entries Low\Content.IE5、
User Data\Default\Cache、All Users、AhnLab
白名单文件名:
DECRYPT-FILES.html、autorun.inf、boot.ini、desktop.ini、ntuser.dat、concache.db、bootsect.bak、ntuser.dat.log、thumbs.db、Bootfont.bin
病毒加密文件前会导入相关的RSA公钥信息
使用文件映射的方式对文件数据进行读写访问
加密前会判断文件感染标志,文件末尾存在数据0x66611166则表示该文件已被加密
调用2次CryptGenRandom对每个文件随机生成文件加密密钥
最终使用salsa20算法对文件进行加密
加密后的salsa20密钥信息将存放与文件尾部
文件加密完成后同样会删除系统卷影信息
被加密后文件结构包含以下三部分内容:被加密内容+被加密的文件密钥+0x66611166标识
文件被加密添加随机扩展后缀
系统被感染后留下名为DECRYPT-FILES.html的勒索说明文件(个别病毒样式略有不同),同时修改桌面壁纸为黑底。
三、安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登录。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码
2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCs
Md5
9823800f063a1d4ee7a749961db7540f
345d140139d2d11713b06f1cd9a5669e
f83fb9ce6a83da58b20685c1d7e1e546
a0dc59b0f4fdf6d4656946865433bcce
