迷宫(Maze)勒索病毒,别名ChaCha勒索,最早出现于2019年5月,由于其始终保持活跃状态,据相关安全公司持续追踪该勒索病毒动态,发现其在本月异常活跃,更新较为频繁。该病毒在早期主要使用漏洞利用工具包Fallout、Spelevo等通过网页挂马方式传播,或者伪装成合法加密货币交换应用程序的假冒站点传播。
安全公司截获的最新在野样本,其是通过标题为RSA SecurID的诱饵文档传播,该文档里面包含恶意宏代码,诱导受害者运行文件,启动宏代码。宏代码会读取窗体中的数据,然后进行解析,其主要功能是下载迷宫勒索病毒主体文件,对于不同的变种文件,其勒索主体文件下载地址和文件名称会发生变化。运行下载的迷宫勒索病毒后,其会加密系统中的数据。完成加密后,该病毒不会删除自身,而是循环播放文件被加密的录音,通知受害人已经感染勒索病毒。
解决方案
ü不要点击来源不明的邮件以及附件;
ü不要点击来源不明的邮件中包含的链接;
ü请到正规网站下载应用程序;
ü浏览网页时,不随意下载和安装应用程序;
ü采用高强度的密码,避免使用弱口令密码,并定期更换密码;
ü打全系统及应用程序补丁;
ü尽量关闭不必要的文件共享;
ü请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储