每周典型威胁分析

 
      近日，安天 CERT 在梳理网络安全事 件时发现一个名为 Maze 勒索病毒的变种， 该变种病毒名叫 ChaCha 勒索病毒，最早 出现于 2019 年 5 月，擅长使用 FalloutEK 漏洞利用工具通过网页挂马等方式传播， 被挂马的网页，多用于黄赌毒以及某些软 件内嵌的广告页面等。

      Maze 勒索病毒通过大量混淆代码来对 抗静态分析，并且使用 RSA+Salsa20 方式 加密文件，加密完成后对文件添加随机扩 展后缀，被加密后的文件包含以下三部分 内容：被加密内容 + 被加密的文件密钥之 后创建名为 DECRYPT-FILES.html 的勒索 信，勒索信的内容告诉受害者文件被加密，并且留下了作者的电子邮箱，提供付款指 南等，勒索信的最后是一个 Base64 编码的 字符串，其中包含加密的私有解密密钥和 受感染计算机的信息，勒索信指明，在发 送电子邮件给勒索软件作者时，必须发送 此文本，值得一提的是 Maze 变种与其它 勒索病毒不同的是解密赎金额度取决于被 感染电脑的重要程度（个人电脑，办公电 脑，服务器），这意味着高价值系统受攻 击后解密付出的代价也会相应的更高，目 前被加密的文件在未得到密钥时暂无法解 密。勒索病毒给企业和个人的数据安全带 来了严重的威胁，一旦主机被入侵，主机 中的文件都有可能被加密，而且被加密文件将难以恢复，因此防护显得极为重要。 安天建议广大用户，不要将数据安全立足 于加密后的数据恢复，应该安装杀毒、防 毒软件（参考安天智甲工具）并及时升级 系统和修补设备漏洞；对重要的数据文件 进行备份，避免弱口令的使用，避免使用 统一的密码。确保所有的计算机在使用远 程桌面服务时采取 VPN 连接等安全方式， 如果业务上无需使用远程桌面服务，建议 将其关闭。

      目前，安天追影产品已经实现了对该 类勒索病毒的鉴定；安天智甲已经实现了 对该勒索病毒的查杀。