近日，安天 CERT 在梳理網(wǎng)絡安全事 件時發(fā)現(xiàn)一個名為 Maze 勒索病毒的變種， 該變種病毒名叫 ChaCha 勒索病毒，最早 出現(xiàn)于 2019 年 5 月，擅長使用 FalloutEK 漏洞利用工具通過網(wǎng)頁掛馬等方式傳播， 被掛馬的網(wǎng)頁，多用于黃賭毒以及某些軟 件內嵌的廣告頁面等。

      Maze 勒索病毒通過大量混淆代碼來對 抗靜態(tài)分析，并且使用 RSA+Salsa20 方式 加密文件，加密完成后對文件添加隨機擴 展后綴，被加密后的文件包含以下三部分 內容：被加密內容 + 被加密的文件密鑰之 后創(chuàng)建名為 DECRYPT-FILES.html 的勒索 信，勒索信的內容告訴受害者文件被加密，并且留下了作者的電子郵箱，提供付款指 南等，勒索信的最后是一個 Base64 編碼的 字符串，其中包含加密的私有解密密鑰和 受感染計算機的信息，勒索信指明，在發(fā) 送電子郵件給勒索軟件作者時，必須發(fā)送 此文本，值得一提的是 Maze 變種與其它 勒索病毒不同的是解密贖金額度取決于被 感染電腦的重要程度（個人電腦，辦公電 腦，服務器），這意味著高價值系統(tǒng)受攻 擊后解密付出的代價也會相應的更高，目 前被加密的文件在未得到密鑰時暫無法解 密。勒索病毒給企業(yè)和個人的數(shù)據(jù)安全帶 來了嚴重的威脅，一旦主機被入侵，主機 中的文件都有可能被加密，而且被加密文件將難以恢復，因此防護顯得極為重要。 安天建議廣大用戶，不要將數(shù)據(jù)安全立足 于加密后的數(shù)據(jù)恢復，應該安裝殺毒、防 毒軟件（參考安天智甲工具）并及時升級 系統(tǒng)和修補設備漏洞；對重要的數(shù)據(jù)文件 進行備份，避免弱口令的使用，避免使用 統(tǒng)一的密碼。確保所有的計算機在使用遠 程桌面服務時采取 VPN 連接等安全方式， 如果業(yè)務上無需使用遠程桌面服務，建議 將其關閉。

      目前，安天追影產品已經(jīng)實現(xiàn)了對該 類勒索病毒的鑒定；安天智甲已經(jīng)實現(xiàn)了 對該勒索病毒的查殺。