该软件的开发人员已经引入了一种额外的方法来创建针对勒索软件受害者的杠杆迷宫ransomware.如果受害者不相信她应该支付罪犯,因为她的文件是加密的,可能有一个额外的勒索方法。随着时间的推移,越来越多的组织找到了保存重要文件安全副本的方法,或者使用某种回滚技术将系统恢复到攻击前的状态。

想要对这些组织有所影响,他们ransomware攻击者在部署勒索软件的同时从被渗透的系统中窃取数据。然后,他们威胁说,如果受害者决定不付钱,他们就公布这些数据。根据不同类型的数据,这可能是一个相当令人信服的屈服理由。

迷宫引入泄漏数据

在2019年最后一个季度,Maze的开发人员引入了这种新的勒索方法。而且,似乎勒索软件本身还不够糟糕,自从引入这种方法以来,许多其他勒索软件销售商也开始采用它。除了Maze之外,最著名的将数据外泄作为勒索软件配菜的勒索软件家族是Clop,Sodinokibi, DoppelPaymer。

“第一个受害者”这一可疑的荣誉归总部位于加州的安全服务公司联合环球公司所有。Allied Universal saw 700MB被盗数据被拒绝倾倒才能满足迷宫设定的赎金需求。如今,涉及这双特色攻击的大多数帆船仓团伙都有专门的网站,在那里他们威胁要从不愿意支付的受害者发布被盗的数据。

迷宫的网站
在这个网站上,迷宫的运营商公布了他们“客户”的数据。

迷宫勒索软件的特点

Maze勒索软件是ChaCha勒索软件的变种,最初是由Malwarebytes威胁情报总监Jérôme Segura于2019年5月发现的。必威平台APP自2019年12月以来,该团伙非常活跃,几乎在每个领域都制造了许多高调的受害者:金融、技术、电信、医疗保健、政府、建筑、酒店、媒体和通信、公用事业和能源、制药和生命科学、教育、保险、批发和法律。

Maze的主要分布形式有:

  • 恶意垃圾邮件活动利用武器化的附件,主要是Word和Excel文件
  • RDP暴力破解攻击

最初Maze是通过网站发布的,使用的是类似于影响埃克Spelevo埃克,它被发现使用Flash Player漏洞。迷宫勒索软件也被利用针对Pulse VPN的攻击,以及Windows VBScript引擎远程代码执行漏洞进入一个网络

无论使用哪种方法在网络中获得立足之地,Maze操作人员的下一步都是获得更高的权限,进行横向移动,并开始在所有驱动器上部署文件加密。然而,在对数据进行加密之前,这些操作人员会将他们看到的文件转移出去。这些文件将被用作获取额外筹码的手段,以公开威胁。

MAZE使用两种算法加密文件,ChaCha20RSA.在加密之后,程序在每个文件的末尾附加一个随机的4-7个字符的字符串。当恶意软件完成加密所有目标文件后,它会将桌面壁纸更改为以下图像:

同时,系统会向受影响系统的用户播放加密消息。

迷宫勒索软件

Maze在每个包含加密文件的文件夹中创建一个名为DECRYPT-FILES.txt的文件。它跳过其中的一些文件夹:
•%列出%
•% programdata %
•程序文件
•% appdata % \当地


它还会跳过以下类型的所有文件:
•dll
•exe
•lnk
•系统


这封名为DECRYPT-FILES.txt的勒索信包含了对受害者的指令:


赎金说明解释了这次攻击以及如何联系网络罪犯获取解密文件。

然后他们承诺:

付款后,数据将从我们的磁盘和解密器将给你,所以你可以恢复你的所有文件。

256年沙散列:

19 aaa6c900a5642941d4ebc309433e783befa4cccd1a5af8c86f6e257bf0a72e

6878年f7bd90434ac5a76ac2208a5198ce1a60ae20e8505fc110bd8e42b3657d13

9 ad15385f04a6d8dd58b4390e32d876070e339eee6b8da586852d7467514d1b1

b950db9229db2f37a7eb5368308de3aafcea0fd217c614daedb7f334292d801e

保护

必威平台APPMalwarebytes通过不同层的组合来保护用户,其中一个层可以很早就停止攻击,并且完全没有签名。

除了使用Malwarebyt必威平台APPes,我们还建议:

  • 禁止重要端口(RDP端口3389)访问公网ip。
  • 只允许访问在您的控制下的ip。
  • 在阻塞RDP端口的同时,我们也建议阻塞SMB端口445。一般情况下,建议阻塞未使用的端口。
  • 应用最新的微软更新包,并保持您的操作系统和防病毒完全更新。

支付

虽然我们总是建议不要付钱给罪犯,因为这样做可以维持他们的商业模式,但我们确实理解,丢失关键文件可能是一个令人信服的理由,无论如何,支付他们。而且,随着发布迷宫操作人员引入的外逃数据的新举措,还有一个现成的理由。事实证明,在网上公布机密数据是一种有效的额外说服,因为许多组织无法承担公开这些数据的费用。

保持安全,大家好!