Maze 勒索軟件的開發者不斷使用新的方法來勒索受害者，如果原來的方式不足夠讓你付贖金，那就換一種方法進行勒索。

始終有一部分受害者不會因爲文件被加密而向攻擊者付款。隨着時間的推移，攻擊者發明了新的方法勒索受害者，他們會保存重要文件的未加密副本或使用某種回滾技術將系統還原到攻擊前的狀態。

勒索軟件在部署時會竊取相關數據，如果受害者不付款，攻擊者就會威脅要公開數據。

Maze 開始泄露數據

2019 年最後一個季度，Maze 的開發者引入了這種新的勒索方式。而且，自從它引入這種方法以來，許多其他勒索軟件也開始採用這種方式。除了 Maze 外，還包括 Clop 、Sodinokibi 和 DoppelPaymer。

第一位享此殊榮的是加利福尼亞的安全服務公司 Allied Universal。在拒絕爲 Maze 支付贖金後， 公開了 Allied Universal 被竊的 700MB 數據 。如今，大多數勒索軟件都提供這種網站，公開從受害者竊取的不願意支付贖金的數據。

Maze 勒索軟件特徵

Maze 勒索軟件是 ChaCha 的一種變種，最初是由 Malwarebytes 的威脅情報總監 JérômeSegura 在 2019 年 5 月發現的。自從 2019 年 12 月以來，該團伙持續活躍，幾乎在各個領域都有大量的受害者，包括金融、科技、電信、醫療、政府、建築、酒店、媒體、能源、製藥、教育、保險和法律等行業。

Maze 的主要傳播形式爲：

垃圾郵件投遞武器化的 Office 文件（Word 和 Excel 文件）

RDP 暴力破解

最初，Maze 是使用如 Fallout EK 和 Spelevo EK 之類的漏洞利用工具包通過網站進行傳播，該工具包利用 Flash Player 漏洞。後續 Maze 勒索軟件增加了利用 Pulse VPN 的漏洞 與 Windows VBScript Engine 遠程代碼執行漏洞 。

無論使用哪種方式獲得立足點，Maze 後續都會嘗試得到更高的權限，進行橫向移動並在所有驅動器上加密文件。但是加密文件之前會額外提取這些文件，然後威脅受害者要曝光這部分文件。

Maze 使用 ChaCha20 和 RSA 兩種算法加密文件，加密後，程序會在每個文件的末尾臺南佳一個隨機的 4-7 字符的字符串。惡意軟件將所有文件加密完成後，會修改桌面壁紙。

此外，還會向受害者播放語音消息提醒他們文件已經被加密了。

IOC

Maze 在包含加密文件的每個文件夾中創建一個名爲DECRYPT-FILES.txt的文件。也會跳過一些文件夾不加密：

%windir%
%programdata%

程序文件

%appdata%\local

也會跳過以下類型的文件：

dll
exe
lnk
sys

勒索信息DECRYPT-FILES.txt如下所示：

犯罪分析承諾，付款後就會將得到的數據刪除，並且爲你提供解密工具來還原本地所有文件。

相關樣本哈希

19aaa6c900a5642941d4ebc309433e783befa4cccd1a5af8c86f6e257bf0a72e
6878f7bd90434ac5a76ac2208a5198ce1a60ae20e8505fc110bd8e42b3657d13
9ad15385f04a6d8dd58b4390e32d876070e339eee6b8da586852d7467514d1b1
b950db9229db2f37a7eb5368308de3aafcea0fd217c614daedb7f334292d801e

參考來源

MalwareBytes

*本文作者：Avenger，轉載請註明來自 FreeBuf.COM