首页
功能
  • 功能简介
  • 更多系统
服务支持
升级包下载
客户列表
关于安企神

400-118-8335

在线试用
微信扫码联系专属客服
安企神软件官网
首页
功能
文档加密软件
文档信息安全管理软件
上网行为管理软件
应用程序管控软件
敏感文件管理软件
U盘设备管控软件
文件分发软件
IT资产管理软件
电脑操作记录软件
远程控制软件
聊天管控软件
敏感信息报警
屏幕管控
内网管理
深度行为分析
电脑屏幕录像
实时管控
补丁管理
网络准入控制管理系统
服务支持
升级包下载
客户列表
客户列表
客户列表
关于安企神
安企神软件

Maze勒索软件正式加入泄露数据的行列

2024-10-31
公司上网行为管理,就用安企神软件

Maze 勒索软件的开发者不断使用新的方法来勒索受害者,如果原来的方式不足够让你付赎金,那就换一种方法进行勒索。

始终有一部分受害者不会因为文件被加密而向攻击者付款。随着时间的推移,攻击者发明了新的方法勒索受害者,他们会保存重要文件的未加密副本或使用某种回滚技术将系统还原到攻击前的状态。

勒索软件在部署时会窃取相关数据,如果受害者不付款,攻击者就会威胁要公开泄露数据。

Maze 开始泄露数据

2019 年最后一个季度,Maze 的开发者引入了这种新的勒索方式。而且,自从它引入这种方法以来,许多其他勒索软件也开始采用这种方式。除了 Maze 外,还包括Clop、Sodinokibi 和 DoppelPaymer。

第一位享此殊荣的是加利福尼亚的安全服务公司 Allied Universal。在拒绝为 Maze 支付赎金后,公开了 Allied Universal 被窃的 700MB 数据。如今,大多数勒索软件都提供这种网站,公开从受害者窃取的不愿意支付赎金的数据。

Maze 勒索软件特征

Maze 勒索软件是 ChaCha 的一种变种,最初是由 Malwarebytes 的威胁情报总监 JérômeSegura 在 2019 年 5 月发现的。自从 2019 年 12 月以来,该团伙持续活跃,几乎在各个领域都有大量的受害者,包括金融、科技、电信、医疗、政府、建筑、酒店、媒体、能源、制药、教育、保险和法律等行业。

Maze 的主要传播形式为:

垃圾邮件投递武器化的 Office 文件(Word 和 Excel 文件)

RDP 暴力破解

最初,Maze 是使用如Fallout EK和Spelevo EK之类的漏洞利用工具包通过网站进行传播,该工具包利用 Flash Player 漏洞。后续 Maze 勒索软件增加了利用Pulse VPN 的漏洞与Windows VBScript Engine 远程代码执行漏洞。

无论使用哪种方式获得立足点,Maze 后续都会尝试得到更高的权限,进行横向移动并在所有驱动器上加密文件。但是加密文件之前会额外提取这些文件,然后威胁受害者要曝光这部分文件。

Maze 使用 ChaCha20 和 RSA 两种算法加密文件,加密后,程序会在每个文件的末尾台南佳一个随机的 4-7 字符的字符串。恶意软件将所有文件加密完成后,会修改桌面壁纸。

此外,还会向受害者播放语音消息提醒他们文件已经被加密了。

IOC

Maze 在包含加密文件的每个文件夹中创建一个名为DECRYPT-FILES.txt的文件。也会跳过一些文件夹不加密:

%windir%

%programdata%

程序文件

%appdata%\local

也会跳过以下类型的文件:

dll

exe

lnk

sys

勒索信息DECRYPT-FILES.txt如下所示:

犯罪分析承诺,付款后就会将得到的数据删除,并且为你提供解密工具来还原本地所有文件。[来源:FreeBuf]

  • TAG:
上一篇 : 挖洞经验 | 篡改密码重置的加密参数实现账号劫持
下一篇 : 国内商业泄密事件逐年递增,如何防范商业秘密泄露

相关文章

最新文章

热门文章

文章标签

安企神软件