安全实验室 | Maze勒索病毒泄密研究-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国家网信办发布《国家网络安全事件报告管理办法》

2025-09-16

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

每周安全速递³⁵⁸ | 南卡罗来纳州第五学区确认数据泄露

2025-09-16

每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

2025-09-08

每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

2025-09-01

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

安全实验室 | Maze勒索病毒泄密研究

发布时间：2021-02-05 阅读次数： 280 次

Maze勒索病毒也叫ChaCha勒索病毒，最早出现于2019年5月，擅长使用FalloutEK漏洞利用工具通过网页挂马等方式传播。被挂马的网页，多见于黄赌毒相关页面，通常会逐步扩大到盗版软件、游戏外挂（或破解）、盗版影视作品下载，以及某些软件内嵌的广告页面。Maze是最早的勒索软件系列之一，如果拒绝合作就会泄露受害者的机密数据，其已经成为REvil/Sodinokibi,DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker和Snatch在内的数个勒索软件的标准。

01、发现时间

首次发现于2019年5月29日。

02、样本类型

Maze勒索病毒是32位二进制文件，通常伪装成EXE或者DLL。Maze病毒通过大量混淆代码来对抗静态分析，使用RSA+Salsa20方式加密文件，被加密的文档在未得到密钥时暂无法解密。加密完成后对文件添加随机扩展后缀，并留下名为DECRYPT-FILES.html的勒索说明文档。值得一提的是，该病毒声称，解密赎金额度取决于被感染电脑的重要程度（个人电脑，办公电脑，服务器），这意味着高价值系统受攻击后解密付出的代价也会相应的更高。

03、主要攻击目标和地区

美国为第一攻击目标，并排除前苏联国家或地区。该团伙规定合作方不得在独立国家联合体的成员国分发勒索软件，包括：俄罗斯联邦、白俄罗斯共和国、摩尔多瓦共和国、亚美尼亚共和国、阿塞拜疆共和国、塔吉克斯坦共和国、吉尔吉斯斯坦共和国、哈萨克斯坦共和国、乌兹别克斯坦共和国。