Maze（迷宫）勒索病毒见人要价，根据数据价值确定勒索金额

一、概述

腾讯安全御见威胁情报中心监测发现，新型勒索病毒Maze（迷宫）近日在国内造成部分感染。Maze（迷宫）勒索病毒擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页，多见于黄赌毒相关页面，通常会逐步扩大到盗版软件、游戏外挂（或破解）、盗版影视作品下载，以及某些软件内嵌的广告页面。腾讯安全专家提醒用户小心访问这些网站，腾讯电脑专家可拦截查杀Maze（迷宫）勒索病毒。

Maze勒索病毒也叫ChaCha勒索病毒，最早出现于2019年5月。Maze（迷宫）病毒通过大量混淆代码来对抗静态分析，使用RSA+Salsa20方式加密文件，被加密的文档在未得到密钥时暂无法解密。

加密完成后对文件添加随机扩展后缀，并留下名为DECRYPT-FILES.html的勒索说明文档。值得一提的是，该病毒声称，解密赎金额度取决于被感染电脑的重要程度（个人电脑，办公电脑，服务器），这意味着高价值系统受攻击后解密付出的代价也会相应的更高。

二、分析
病毒通过外壳程序在内存中解密执行真正的勒索Payload

查看dump出的勒索payload可知代码有大量混淆，用于静态分析对抗干扰

简单去混淆后可看出其内部call替代执行流程

病毒加密白名单目录
Games 、Tor Browser、 ProgramData、 cache2entries LowContent.IE5、
User DataDefaultCache、All Users、AhnLab

白名单文件名:
DECRYPT-FILES.html、autorun.inf、boot.ini、desktop.ini、ntuser.dat、concache.db、bootsect.bak、ntuser.dat.log、thumbs.db、Bootfont.bin

病毒加密文件前会导入相关的RSA公钥信息

使用文件映射的方式对文件数据进行读写访问

加密前会判断文件感染标志，文件末尾存在数据0x66611166则表示该文件已被加密

调用2次CryptGenRandom对每个文件随机生成文件加密密钥

最终使用salsa20算法对文件进行加密

加密后的salsa20密钥信息将存放与文件尾部

文件加密完成后同样会删除系统卷影信息

被加密后文件结构包含以下三部分内容：被加密内容+被加密的文件密钥+0x66611166标识

文件被加密添加随机扩展后缀

系统被感染后留下名为DECRYPT-FILES.html的勒索说明文件（个别病毒样式略有不同），同时修改桌面壁纸为黑底。

三、安全建议
企业用户：
1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。
3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据（数据库等数据）进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

8、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户：
1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码
2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。

相关推荐: Maze（迷宫）勒索病毒见人要价，根据数据价值确定勒索金额

一、概述 腾讯安全御见威胁情报中心监测发现，新型勒索病毒Maze（迷宫）近日在国内造成部分感染。Maze（迷宫）勒索病毒擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页，多见于黄赌毒相关页面，通常会逐步扩大到盗版软件、游戏外挂（或破…