Maze勒索病毒,又称Chacha勒索病毒,是今年5月份由Malwarebytes安全研究员首次发现,使用Fallout漏洞利用工具包通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,近日又发现它使用Spelevo漏洞利用工具包进行传播。
Maze勒索病毒,又称Chacha勒索病毒,是今年5月份由Malwarebytes安全研究员首次发现,使用Fallout漏洞利用工具包通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,如下所示:
近日国外安全研究人员又发现它使用Spelevo漏洞利用工具包进行传播,如下所示:
同时此勒索病毒近期仍然在使用Fallout漏洞利用工具包进行传播,如下所示:
到目前为此,此勒索病毒主要通过以下两种漏洞利用工具包进行传播:
1.Fallout漏洞利用工具包(FalloutEK)
2.Spelevo漏洞利用工具包(SpelevoEK)
后面会不会使用更多的漏洞利用工具包进行传播,需要持续关注,笔者发现近期使用漏洞利用工具包传播各种恶意软件的攻击活动越来越多,黑客通过漏洞利用工具包,下载各种恶意软件到受害者电脑上进行安装,提醒用户在上网的时候一定要提高自身安全意识,不要随意打开或浏览一些不明网站,以防中招!
Maze勒索病毒使用RSA+Salsa20方式加密文件,加密后的文件后缀名为随机文件名,如下所示:
加密文件之后,此勒索病毒同样也会修改桌面背景图片,如下所示:
生成的勒索提示信息文件DECRYPT-FILES.txt,内容如下所示:
这个勒索提示信息和相关的操作是不是和Sodinokibi勒索病毒的很像?我们可以发现Sodinokibi勒索病毒是在四月份左右在国内首次被发现的,此勒索病毒同样提供了两个不同的解密信息网站,一个基于TOR,一个不基于TOR,打开Maze勒索病毒的解密网站,如下所示:
黑客要求提供0.04839656 BTC(相当于400美元)进行解密,如果超过时间限制,解密费用就会翻倍,同时提示了一个简单的聊天接口,如下所示:
黑客的BTC钱包地址:
32UtCHrwgVKDjXPejsZivjHg2MD9evyBC5
这款勒索病毒同样采用外壳程序保护核心勒索加密代码的方式,在调试的过程中发现一个有趣的东西,如下所示:
you are my shame!!
you are nothing
看来恶意软件作者开始表达不满了......
分配相应的内存空间,解密出shellcode代码,然后创建线程调用解密出来的shellcode代码,如下所示:
shellcode代码再次分配内存空间,如下所示:
在内存中解密出Maze勒索病毒的核心代码,如下所示:
核心代码采用了高强度的代码混淆的方式对抗安全研究人员进行静态分析,相关的函数调用方式,如下所示:
国内已经有相应的分析报告了,就不重复写了。
通过研究发现此勒索病毒与之前的GandCrab、Sodinokibi勒索病毒在一些“表现形式”上有一些相似之处,随着GandCrab勒索病毒停止运营之后,其他后起之秀不断涌现,已经出现了多个类似"表现形式"的勒索病毒,此前文章中已经提到GandCrab的源代码也在某平台上公开出售,出售价为2000美元,未来新型的勒索病毒可能会越来越多,传播的方式会越来越广,各企业一定要保持高度的安全意识,切不可放松警惕,一旦机器被加密,很多勒索病毒是无法解密的,只能去联系勒索病毒黑产团队进行解密处理。
勒索病毒攻击真的是越来越多了,旧的勒索病毒不断变种,新型的勒索病毒不断出现,全球每天都有勒索病毒的变种被发现,每天都有不同的企业被勒索病毒攻击,真的是数不甚数,太多了,随着BTC等虚拟货币的流行,未来勒索病毒的攻击还会持续增多,而且会慢慢转向针对不同的平台进行攻击,勒索病毒已经成为了全球网络安全最大的威胁。
