有关迷宫勒索软件的信息

技术文章 ID: KB92734
上次修改时间: 2022/09/19

环境

Microsoft Windows

摘要

本文提供有关此勒索软件和建议的信息，以帮助保护您的环境。

随着可用信息的增多，本文将会更新。

要在更新本文时收到电子邮件通知，请单击订阅位于页面右侧。您必须登录后才能订购。

迷宫勒索软件首次在2019年5月中发现。勒索软件由威胁演员 TA2101 通过多种方式分发。部署后，勒索软件会扫描所有文件夹并加密除自身和 .ini 文件扩展名之外的所有文件，并在每个文件夹中创建赎金注释。赎金注释中未说明赎金金额。受害者会被定向到通过电子邮件将威胁使用者发送到两个电子邮件地址之一。目前，没有已知的公开可用解密器。

解决方案

重要说明: 请确保所有内容更新中的环境中的所有系统都是最新的。发现新的安全征兆（IOCs）时，会添加覆盖范围。因此，请务必确保您处于最新版本。

在向每日生产 dat 中添加检测时，请参阅本文的 "附件" 部分，以了解 Extra.dat that 您可以使用的内容。要查找最新的内容版本，请参阅以下内容：

要了解如何使用额外 DAT，请参阅以下文章：
KB67602-如何签入和部署 ePolicy Orchestrator 中的额外 .DAT

请参阅我们的博客文章，其中提供了有关迷宫勒索软件的示例的详细分析。

我们还发布了针对迷宫勒索软件的威胁顾问（ KB92415 威胁顾问）：勒索软件顾问-迷宫。

我们建议您查看 KB91836-针对条目矢量威胁的对策。本文针对多种类型的恶意软件提供了常见的入口向量，可帮助加强安全状况。

此外， KB89805-如何响应勒索软件感染突出显示在对勒索软件感染进行响应时要采取的措施。

IOCs 和检测迷宫勒索软件的示例：

注册表密钥访问：
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LegalNoticeCaption
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LegalNoticeText
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server subkey fDenyTSConnections

注意: 此项功能以启用或禁用 RDS。虽然分析家没有副本 windows.bat ，但此注册表项很可能已修改为执行所确定的功能。

创建的文件：
C:\Windows\Temp\ered.tmp
C:\Windows\Temp\wupd12.14.tmp
DECRYPT-FILES.txt

哈希：
Dropper
MD5: a2d631fcb08a6c840c23a8f46f6892dd, Name: “Cure.doc”
MD5: 2fbd10975ee65845a18af6b7488a5236, Name: “USPS_Delivery.doc”
MD5: ee26e33725b14850b1776a67bd8f2d0a , Name: R19340003422.doc
MD5: 2fbd10975ee65845a18af6b7488a5236 , Name: USPS_Delivery.doc
MD5: a2d631fcb08a6c840c23a8f46f6892dd , Name: Cure.doc
MD5: ad30987a53b1b0264d806805ce1a2561 , Name: VERDI.doc
MD5: 53d5bdc6bd7904b44078cf80e239d42b , Name: VERDI.doc

第二阶段：
eset.exe
3bfcba2dd05e1c75f86c008f4d245f62

Loaders - wordupd.tmp
21a563f958b73d453ad91e251b11855c
27c5ecbb94b84c315d56673a851b6cf9
0f841c6332c89eaa7cac14c9d5b1d35b
f5ecda7dd8bb1c514f93c09cea8ae00d
0f841c6332c89eaa7cac14c9d5b1d35b
a0c5b4adbcd9eb6de9d32537b16c423b

加载程序-其他
b40a9eda37493425782bda4a3d9dad58
5df79164b6d0661277f11691121b1d53
79d137d91be9819930eeb3876e4fbe79
65cf08ffaf12e47de8cd37098aac5b33
fba4cbb7167176990d5a8d24e9505f71
deebbea18401e8b5e83c410c6d3a8b4e
87239ce48fc8196a5ab66d8562f48f26
a3a3495ae2fc83479baeaf1878e1ea84
8205a1106ae91d0b0705992d61e84ab2
b4d6cb4e52bb525ebe43349076a240df
a3386e5d833c8dc5dfbb772d1d27c7d1
d552be44a11d831e874e05cadafe04b6
bf2e43ff8542e73c1b27291e0df06afd
e69a8eb94f65480980deaf1ff5a431a6

提取的恶意软件：
5774f35d180c0702741a46d98190ff37
f04d404d84be66e64a584d425844b926
be537a66d01c67076c8491b05866c894
d2dda72ff2fbbb89bd871c5fc21ee96a

其他哈希：
910aa49813ee4cc7e4fa0074db5e454a
8205a1106ae91d0b0705992d61e84ab2

IP 地址（吸管）：
hxxp://104.168.215.54/wordupd.tmp
hxxp://149.56.245.196/wordupd.tmp
hxxps://104.168.198.208/wordupd.tmp
hxxp://104.168.198.230/wordupd.tmp
hxxp://104.168.201.47/wordupd.tmp

迷宫 url：
hxxps://mazedecrypt.top/c3100a28b009e7a9
hxxp://aoacugmutagkwctu.onion/c3100a28b009e7a9

IP 地址：
91[.]218.114.37
91[.]218.114.77
91[.]218.114.4
91[.]218.114.11
91[.]218.114.31
91[.]218.114.79
91[.]218.114.25
91[.]218.114.26
91[.]218.114.38
91[.]218.114.32

附件

Maze_EXTRA.zip
5K • < 1 minute @ broadband

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

语言:

此文章有以下语言版本：

Knowledge Center

有关迷宫勒索软件的信息

环境

摘要

解决方案

附件

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

有关迷宫勒索软件的信息

环境

摘要

解决方案

附件

免责声明

受影响的产品

语言:

选择您的区域

Title

Title