1. 威客安全首页
  2. 安全资讯

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

点击蓝字关注我们

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播


Maze勒索病毒,又称Chacha勒索病毒,是今年5月份由Malwarebytes安全研究员首次发现,使用Fallout漏洞利用工具包通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,近日又发现它使用Spelevo漏洞利用工具包进行传播


Maze勒索病毒,又称Chacha勒索病毒,是今年5月份由Malwarebytes安全研究员首次发现,使用Fallout漏洞利用工具包通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

近日国外安全研究人员又发现它使用Spelevo漏洞利用工具包进行传播,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

同时此勒索病毒近期仍然在使用Fallout漏洞利用工具包进行传播,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

到目前为此,此勒索病毒主要通过以下两种漏洞利用工具包进行传播:

1.Fallout漏洞利用工具包(FalloutEK)

2.Spelevo漏洞利用工具包(SpelevoEK)

后面会不会使用更多的漏洞利用工具包进行传播,需要持续关注,笔者发现近期使用漏洞利用工具包传播各种恶意软件的攻击活动越来越多,黑客通过漏洞利用工具包,下载各种恶意软件到受害者电脑上进行安装,提醒用户在上网的时候一定要提高自身安全意识,不要随意打开或浏览一些不明网站,以防中招!

Maze勒索病毒使用RSA+Salsa20方式加密文件,加密后的文件后缀名为随机文件名,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

加密文件之后,此勒索病毒同样也会修改桌面背景图片,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

生成的勒索提示信息文件DECRYPT-FILES.txt,内容如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

这个勒索提示信息和相关的操作是不是和Sodinokibi勒索病毒的很像?我们可以发现Sodinokibi勒索病毒是在四月份左右在国内首次被发现的,此勒索病毒同样提供了两个不同的解密信息网站,一个基于TOR,一个不基于TOR,打开Maze勒索病毒的解密网站,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

黑客要求提供0.04839656 BTC(相当于400美元)进行解密,如果超过时间限制,解密费用就会翻倍,同时提示了一个简单的聊天接口,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

黑客的BTC钱包地址:

32UtCHrwgVKDjXPejsZivjHg2MD9evyBC5

 

这款勒索病毒同样采用外壳程序保护核心勒索加密代码的方式,在调试的过程中发现一个有趣的东西,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

you are my shame!!

you are nothing

看来恶意软件作者开始表达不满了……


分配相应的内存空间,解密出shellcode代码,然后创建线程调用解密出来的shellcode代码,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

shellcode代码再次分配内存空间,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

在内存中解密出Maze勒索病毒的核心代码,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

核心代码采用了高强度的代码混淆的方式对抗安全研究人员进行静态分析,相关的函数调用方式,如下所示:

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

国内已经有相应的分析报告了,就不重复写了

 

通过研究发现此勒索病毒与之前的GandCrab、Sodinokibi勒索病毒在一些“表现形式”上有一些相似之处,随着GandCrab勒索病毒停止运营之后,其他后起之秀不断涌现,已经出现了多个类似”表现形式”的勒索病毒,此前文章中已经提到GandCrab的源代码也在某平台上公开出售,出售价为2000美元,未来新型的勒索病毒可能会越来越多,传播的方式会越来越广,各企业一定要保持高度的安全意识,切不可放松警惕,一旦机器被加密,很多勒索病毒是无法解密的,只能去联系勒索病毒黑产团队进行解密处理


勒索病毒攻击真的是越来越多了,旧的勒索病毒不断变种,新型的勒索病毒不断出现,全球每天都有勒索病毒的变种被发现,每天都有不同的企业被勒索病毒攻击,真的是数不甚数,太多了,随着BTC等虚拟货币的流行,未来勒索病毒的攻击还会持续增多,而且会慢慢转向针对不同的平台进行攻击,勒索病毒已经成为了全球网络安全最大的威胁


最后欢迎大家关注此微信公众号,专注于全球恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,及时提供全球最新的威胁情报信息


个人博客地址,欢迎收藏:https://www.malwareanalysis.cn/

(如果懒得打字输入网站地址,可以直接在微信公众号回复关键字:博客,就会自动生成博客地址,直接点击即可)


往期精彩回顾

重磅消息:GandCrab源码和Sodinokibi解密器被出售


如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

加入知识星球,安全的路上,我们一路前行

长按识别二维码加入星球

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播
Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

安全的路很长,贵在坚持……



觉得内容还不错的话,给我点个“在看”呗

Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播
Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

原文始发于微信公众号(安全分析与研究):Maze(迷宫)勒索病毒使用Spelevo漏洞利用工具包进行传播

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论