勒索病毒家族介绍之六——Maoloa(.GlobeImposter-Alpha865qqz):仍在升级的灾难制造者
首页 > 防勒索者病毒
时间:2021-04-15
近期,鸿萌接到若干起客户文件被 Maoloa 勒索软件(.GlobeImposter-Alpha865qqz后缀)加密的案例。
Maoloa 勒索软件就包含在这些文件中,一旦被解密,将开始执行其加密过程,并扔下勒索信息文件。与该勒索病毒以往的变种类似,虽然不属于 GlobeImposter 家族,但其加密的文件后缀却是“.GlobeImposter-Alpha865qqz”。
1. 什么是 Maoloa 勒索软件?
Maoloa 勒索软件首次出现在2019年。这也是 2019 年 7 月罗马尼亚医院遭受攻击时使用的恶意软件之一。
Maoloa 病毒家族故意使用迷惑性的文件后缀,如 .GlobeImposter-Alpha865qqz 等,使用人们误以为这是 GlobeImposter 家族的病毒。该病毒通过钓鱼邮件或邮件附件来感染受害者机器,并向其文件(主要为音视频文件、图片、备份文件、银行数据及其他个人文件)添加 .GlobeImposter-Alpha865qqz 后缀来加密这些文件,使其无法再被使用。Maoloa 勒索软件会在受害者机器中留下勒索信息文件(HOW TO BACK YOUR FILES.exe),怂恿受害者支付赎金以重新获得这些文件:
2. Maoloa ( .GlobeImposter-Alpha865qqz) 病毒是怎样感染受害者机器的?
.GlobeImposter-Alpha865qqz 病毒文件通过恶意负载来触发病毒的恶意脚本,达到扩散病毒的目的。该病毒还可以通过社交媒体及文件共享服务来传播其恶意负载。同时,网上的免费软件中也可能会隐藏着病毒的恶意脚本。
.GlobeImposter-Alpha865qqz 病毒文件可以在 Windows 注册表中输入条目以实现其存在的持久性,并可以在 Windows 系统中启动或压制进程。该病毒还可以通过以下命令来删除 Windows 操作系统中的卷影副本:
“vssadmin.exe delete shadows /all /Quiet”
3. Maoloa 勒索软件新动向
目前发现了 Maoloa 勒索软件较新的样本(检测为 Ransom.Win32.MAOLOA.THAAHBA),它被包含在一个7-Zip SFX文件中。此变体还使用了合法工具 certutil.exe 和 Autoit 脚本。所有这些新增手段都是我们在以前的变种中没有观察到的逃避伎俩。以前遇到的 Maoloa 变种使用的是普通未压缩的二进制文件。
执行包含 Maoloa 勒索软件的 SFX 文件
一旦被执行,携带 Maoloa 勒索软件有效负载的自解压文件将会投放上图中所示的四个文件。
Maoloa 勒索软件就包含在这些文件中,一旦被解密,将开始执行其加密过程,并扔下勒索信息文件。与该勒索病毒以往的变种类似,虽然不属于 GlobeImposter 家族,但其加密的文件后缀却是“.GlobeImposter-Alpha865qqz”。
被 Maoloa 加密的文件及勒索信息
4. 如何预防被勒索软件攻击?
正如这些勒索软件家庭所示,威胁行为者将继续磨练他们的恶意软件,以确保其活动的成功,无论是对其受害者施加更大的压力,使其遵守他们的要求,还是只是更好地伪装他们的恶意活动,以逃避检测。勒索软件目前正在经历快速的变化,需要观察和准备。以下是用户和组织可用于保护自己免受勒索软件侵害的措施:
- 遵循 3-2-1 规则,创建有效的备份策略: 至少创建 3 份备份副本,保存在 2 种不同的存储介质中,至少有 1 份备份副本进行离线保存。
- 在整个网络中采用强密码。
- 进行网络分割,将重要流程和系统所在网络与更广泛的可访问网络分割开。
- 提高组织成员对勒索病毒传播方式(即通过垃圾邮件和邮件附件)的认知并保持警惕。
- 监控和审核网络流量,以发现任何可疑行为或异常情况。
5. 鸿萌易备:提供主动防勒索病毒的保护机制
鸿萌易备数据备份软件是一款简单高效轻量型的软件,为个人计算机及服务器提供全方位的保护方案。主要用于进行 Windows 系统中的数据备份任务,可满足各种数据备份需求:系统备份、数据库备份、虚拟机备份、Exchange 邮件服务器备份、磁带备份等。鸿萌易备数据备份软件提供多种安全防护机制,除了军用级别的 AES 256 位加密之外,还提供强效的主动防勒索者病毒的保护机制,为用户数据构筑坚固的安全防护盾牌。
易备支持同时向多个目标位置同时拷贝多个备份副本。支持如下目标存储设备:本地硬盘、移动硬盘、NAS、磁带、云存储服务等。异地存储是保障备份文件安全的强有效方式。
勒索者病毒从未隐退,加强网络安全防护、做好数据备份是企业务必做好的安全防范举措。