freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    Maze(迷宫)勒索病毒见人开价,根据数据价值确定勒索金额
    2019-06-06 09:50:59
    所属地 广东省

    一、概述

    腾讯安全御见威胁情报中心监测发现,新型勒索病毒Maze(迷宫)近日在国内造成部分感染。Maze勒索病毒也叫ChaCha勒索病毒,最早出现于2019年5月,擅长使用FalloutEK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面。腾讯安全专家提醒用户小心访问这些网站,腾讯电脑专家可拦截查杀Maze(迷宫)勒索病毒。

    1.png

    Maze(迷宫)病毒通过大量混淆代码来对抗静态分析,使用RSA+Salsa20方式加密文件,被加密的文档在未得到密钥时暂无法解密。加密完成后对文件添加随机扩展后缀,并留下名为DECRYPT-FILES.html的勒索说明文档。值得一提的是,该病毒声称,解密赎金额度取决于被感染电脑的重要程度(个人电脑,办公电脑,服务器),这意味着高价值系统受攻击后解密付出的代价也会相应的更高。

    2.png

    二、分析

    病毒通过外壳程序在内存中解密执行真正的勒索Payload

    3.png

    查看dump出的勒索payload可知代码有大量混淆,用于静态分析对抗干扰

    4.png

    简单去混淆后可看出其内部call替代执行流程

    5.png

     

    病毒加密白名单目录

    Games 、Tor Browser、 ProgramData、 cache2\entries Low\Content.IE5、 

    User Data\Default\Cache、All Users、AhnLab

    6.png

    白名单文件名:

    DECRYPT-FILES.html、autorun.inf、boot.ini、desktop.ini、ntuser.dat、concache.db、bootsect.bak、ntuser.dat.log、thumbs.db、Bootfont.bin

    7.png

     

    病毒加密文件前会导入相关的RSA公钥信息

    8.png


    使用文件映射的方式对文件数据进行读写访问

    9.png

     

    加密前会判断文件感染标志,文件末尾存在数据0x66611166则表示该文件已被加密

    10.png

     

    调用2次CryptGenRandom对每个文件随机生成文件加密密钥

    11.png

    最终使用salsa20算法对文件进行加密

    12.png

    加密后的salsa20密钥信息将存放与文件尾部

    13.png

     

    文件加密完成后同样会删除系统卷影信息

    14.png

     

    被加密后文件结构包含以下三部分内容:被加密内容+被加密的文件密钥+0x66611166标识

    15.png

     

    文件被加密添加随机扩展后缀

    16.png

     

    系统被感染后留下名为DECRYPT-FILES.html的勒索说明文件(个别病毒样式略有不同),同时修改桌面壁纸为黑底。

    17.jpg

    18.jpg

    三、安全建议

    企业用户:

    1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

    2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

    3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

    4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

    5、对重要文件和数据(数据库等数据)进行定期非本地备份。

    6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

    7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

    20.png

    8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

    个人用户:

    1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码

    2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 

    IOCs

    Md5

    9823800f063a1d4ee7a749961db7540f

    345d140139d2d11713b06f1cd9a5669e

    f83fb9ce6a83da58b20685c1d7e1e546

    a0dc59b0f4fdf6d4656946865433bcce

    # 腾讯电脑管家 # 勒索病毒 # 网页挂马 # Maze(迷宫) # FalloutEK漏洞利用
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者