安全研究 >> 安全研究详情

安全实验室 | Maze勒索病毒泄密研究

作者: 美创科技安全实验室发布日期: 02月05日

Maze勒索病毒也叫ChaCha勒索病毒,最早出现于2019年5月,擅长使用FalloutEK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面。Maze是最早的勒索软件系列之一,如果拒绝合作就会泄露受害者的机密数据,其已经成为REvil/Sodinokibi,DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker和Snatch在内的数个勒索软件的标准。




01、发现时间


首次发现于2019年5月29日。


02、样本类型


Maze勒索病毒是32位二进制文件,通常伪装成EXE或者DLL。Maze病毒通过大量混淆代码来对抗静态分析,使用RSA+Salsa20方式加密文件,被加密的文档在未得到密钥时暂无法解密。加密完成后对文件添加随机扩展后缀,并留下名为DECRYPT-FILES.html的勒索说明文档。值得一提的是,该病毒声称,解密赎金额度取决于被感染电脑的重要程度(个人电脑,办公电脑,服务器),这意味着高价值系统受攻击后解密付出的代价也会相应的更高。


03、主要攻击目标和地区


美国为第一攻击目标,并排除前苏联国家或地区。该团伙规定合作方不得在独立国家联合体的成员国分发勒索软件,包括:俄罗斯联邦、白俄罗斯共和国、摩尔多瓦共和国、亚美尼亚共和国、阿塞拜疆共和国、塔吉克斯坦共和国、吉尔吉斯斯坦共和国、哈萨克斯坦共和国、乌兹别克斯坦共和国。




04、运行流程


病毒通过一个C/C++外壳释放并执行ShellCode。

Maze病毒删除卷影副本,防止用户利用系统工具恢复文件。

导入RSA公钥,准备加密数据。

通过文件映射访问文件,使用salsa20算法加密文件数据。

在内存中解密生成勒索信。

遍历磁盘目录加密文件。

加密白名单目录,加密过程中排除以下目录:Program Files、Games、TorBrowser、Program Data、cache2\entries、Low\Content.IE5、User Data\Default\Cache、All Users。

加密白名单文件:DECRYPT-FILES.html、autorun.inf、boot.ini、desktop.ini、ntuser.dat、iconcache.db、bootsect.bak、ntuser.dat.log、thumbs.db、Bootfont.bin。

使用CryptGenRandom为每个文件单独生成salsa20Key、Iv, 加密文件内容。再使用RSA公钥加密salsa20Key、Iv. 在文件末尾追加密钥数据与加密标识。

Maze勒索病毒在加密的同时传输用户文件。


Avaddon勒索软件运行时的I/O读取速率如下:




利用资源管理器可以监控到Maze勒索软件执行的上传文件的过程,并且上传的文件是即将要进行加密的文件。




最后Avaddon勒索软件将所有的文件加密完成,会修改桌面壁纸,并放置勒索信。



服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1 网站地图