江苏龙网

  1. 首页 > 资讯 > 科技 > >

FreeBuf|Maze引入披露数据这种新型勒索方式


Maze 勒索软件的开发者不断使用新的方法来勒索受害者 , 如果原来的方式不足够让你付赎金 , 那就换一种方法进行勒索 。
始终有一部分受害者不会因为文件被加密而向攻击者付款 。 随着时间的推移 , 攻击者发明了新的方法勒索受害者 , 他们会保存重要文件的未加密副本或使用某种回滚技术将系统还原到攻击前的状态 。
勒索软件在部署时会窃取相关数据 , 如果受害者不付款 , 攻击者就会威胁要公开数据 。
Maze 开始泄露数据2019 年最后一个季度 , Maze 的开发者引入了这种新的勒索方式 。 而且 , 自从它引入这种方法以来 , 许多其他勒索软件也开始采用这种方式 。 除了 Maze 外 , 还包括Clop、Sodinokibi 和 DoppelPaymer 。
第一位“享此殊荣”的是加利福尼亚的安全服务公司 Allied Universal 。 在拒绝为 Maze 支付赎金后 , 公开了 Allied Universal 被窃的 700MB 数据 。 如今 , 大多数勒索软件都提供这种网站 , 公开从受害者窃取的不愿意支付赎金的数据 。
【FreeBuf|Maze引入披露数据这种新型勒索方式】
FreeBuf|Maze引入披露数据这种新型勒索方式
本文插图

Maze 勒索软件特征Maze 勒索软件是 ChaCha 的一种变种 , 最初是由 Malwarebytes 的威胁情报总监 Jér?meSegura 在 2019 年 5 月发现的 。 自从 2019 年 12 月以来 , 该团伙持续活跃 , 几乎在各个领域都有大量的受害者 , 包括金融、科技、电信、医疗、政府、建筑、酒店、媒体、能源、制药、教育、保险和法律等行业 。
Maze 的主要传播形式为:
垃圾邮件投递武器化的 Office 文件(Word 和 Excel 文件)
RDP 暴力破解
最初 , Maze 是使用如Fallout EK和Spelevo EK之类的漏洞利用工具包通过网站进行传播 , 该工具包利用 Flash Player 漏洞 。 后续 Maze 勒索软件增加了利用Pulse VPN 的漏洞与Windows VBScript Engine 远程代码执行漏洞 。
无论使用哪种方式获得立足点 , Maze 后续都会尝试得到更高的权限 , 进行横向移动并在所有驱动器上加密文件 。 但是加密文件之前会额外提取这些文件 , 然后威胁受害者要曝光这部分文件 。
Maze 使用 ChaCha20 和 RSA 两种算法加密文件 , 加密后 , 程序会在每个文件的末尾台南佳一个随机的 4-7 字符的字符串 。 恶意软件将所有文件加密完成后 , 会修改桌面壁纸 。
FreeBuf|Maze引入披露数据这种新型勒索方式
本文插图

此外 , 还会向受害者播放语音消息提醒他们文件已经被加密了 。
IOCMaze 在包含加密文件的每个文件夹中创建一个名为DECRYPT-FILES.txt的文件 。 也会跳过一些文件夹不加密:
%windir%
%programdata%
程序文件
%appdata%\local
也会跳过以下类型的文件:
dll
exe
lnk
sys
勒索信息DECRYPT-FILES.txt如下所示:
FreeBuf|Maze引入披露数据这种新型勒索方式
本文插图

犯罪分析承诺 , 付款后就会将得到的数据删除 , 并且为你提供解密工具来还原本地所有文件 。
相关样本哈希19aaa6c900a5642941d4ebc309433e783befa4cccd1a5af8c86f6e257bf0a72e
6878f7bd90434ac5a76ac2208a5198ce1a60ae20e8505fc110bd8e42b3657d13
9ad15385f04a6d8dd58b4390e32d876070e339eee6b8da586852d7467514d1b1
b950db9229db2f37a7eb5368308de3aafcea0fd217c614daedb7f334292d801e
参考来源MalwareBytes
*本文作者:Avenger , 转载请注明来自 FreeBuf.COM
精彩推荐
FreeBuf|Maze引入披露数据这种新型勒索方式


推荐阅读


上一篇:大哥大短讯|目前已经“烂大街”的四款华为手机,你有没有中招?

下一篇:DeepTech深科技|美光DRAM商业机密案再升级,美国对福建晋华总经理发出逮捕令