近日,亚信安全截获新型迷宫(Maze)勒索病毒变种文件,该病毒与众不同的是,其完成加密数据后会循环播放文件被加密的录音,多种渠道通知受害者已经感染勒索病毒。亚信安全将其命名为 Ransom.Win32.MAZE.E。
迷宫(Maze)勒索病毒,别名ChaCha勒索,最早出现于2019年5月,由于其始终保持活跃状态,亚信安全持续追踪该勒索病毒动态,我们发现其在本月异常活跃,更新较为频繁。该病毒在早期主要使用漏洞利用工具包Fallout、Spelevo等通过网页挂马方式传播,或者伪装成合法加密货币交换应用程序的假冒站点传播。
此次我们截获的最新在野样本,其是通过标题为RSA SecurID的诱饵文档传播(亚信安全将其命名为Trojan.W97M.DEDEX.S),该文档里面包含恶意宏代码,诱导受害者运行文件,启动宏代码。宏代码会读取窗体中的数据,然后进行解析,其主要功能是下载迷宫勒索病毒主体文件,对于不同的变种文件,其勒索主体文件下载地址和文件名称会发生变化。运行下载的迷宫勒索病毒后,其会加密系统中的数据。完成加密后,该病毒不会删除自身,而是循环播放文件被加密的录音,通知受害人已经感染勒索病毒。
【标题为RSA SecurID的诱饵文档】
读取窗体中的数据,下载并执行迷宫勒索病毒主体文件:
窗体的数据如下:
通过调试,宏代码解密窗体中的数据,然后从远程服务器hxxp://192.xxx.210.xxx/officeupd.fft下载恶意程序到C:\Windows\Temp\jbz.exe,然后执行恶意程序,如下所示:
标题为RSA SecurID的不同变种的诱饵文档,其文档内容不同:
勒索主体文件的下载地址和名称也发生了变化:
文档中恶意的宏代码也有所变化,但是大致的程序流程还是一样的:
该勒索主体文件通过外壳程序在内存中解密执行真正的勒索Payload:
然后跳转到入口点执行核心代码:
文件加密完成后同样会删除系统卷影信息:
此勒索病毒加密后的文件后缀名为随机文件名:
加密文件之后会修改桌面背景图片:
勒索提示信息文件DECRYPT-FILES.txt,内容如下所示:
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中包含的链接;
请到正规网站下载应用程序;
浏览网页时,不随意下载和安装应用程序;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
打全系统及应用程序补丁;
尽量关闭不必要的文件共享;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
文件sha-1 | 文件名称 | 亚信安全检测名 |
---|---|---|
37facdc5167a2de80a4d328920579e31 | VERDI.doc | Trojan.W97M.DEDEX.S |
e3648731a36105980f5fae6b4afe614b | officeupd.fft | Ransom.Win32.MAZE.E |
*本文作者:亚信安全,转载请注明来自FreeBuf.COM