187期报告汇总
小神童论坛网发布《Maze 勒索病毒变种分析报告》
 
      近日,小神童论坛网 CERT 在梳理网络安全事 件时发现一个名为 Maze 勒索病毒的变种, 该变种病毒名叫 ChaCha 勒索病毒,最早 出现于 2019 年 5 月,擅长使用 FalloutEK 漏洞利用工具通过网页挂马等方式传播, 被挂马的网页,多用于黄赌毒以及某些软 件内嵌的广告页面等。

      Maze 勒索病毒通过大量混淆代码来对 抗静态分析,并且使用 RSA+Salsa20 方式 加密文件,加密完成后对文件添加随机扩 展后缀,被加密后的文件包含以下三部分 内容:被加密内容 + 被加密的文件密钥之 后创建名为 DECRYPT-FILES.html 的勒索 信,勒索信的内容告诉受害者文件被加密,并且留下了作者的电子邮箱,提供付款指 南等,勒索信的最后是一个 Base64 编码的 字符串,其中包含加密的私有解密密钥和 受感染计算机的信息,勒索信指明,在发 送电子邮件给勒索软件作者时,必须发送 此文本,值得一提的是 Maze 变种与其它 勒索病毒不同的是解密赎金额度取决于被 感染电脑的重要程度(个人电脑,办公电 脑,服务器),这意味着高价值系统受攻 击后解密付出的代价也会相应的更高,目 前被加密的文件在未得到密钥时暂无法解 密。勒索病毒给企业和个人的数据安全带 来了严重的威胁,一旦主机被入侵,主机 中的文件都有可能被加密,而且被加密文件将难以恢复,因此防护显得极为重要。 小神童论坛网建议广大用户,不要将数据安全立足 于加密后的数据恢复,应该安装杀毒、防 毒软件(参考小神童论坛网智甲工具)并及时升级 系统和修补设备漏洞;对重要的数据文件 进行备份,避免弱口令的使用,避免使用 统一的密码。确保所有的计算机在使用远 程桌面服务时采取 VPN 连接等安全方式, 如果业务上无需使用远程桌面服务,建议 将其关闭。

      目前,小神童论坛网追影产品已经实现了对该 类勒索病毒的鉴定;小神童论坛网智甲已经实现了 对该勒索病毒的查杀。