Maze勒索病毒，又称Chacha勒索病毒，是今年5月份由Malwarebytes安全研究员首次发现，此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo，伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播，近日笔者监控到一例通过标题为RSA SecurID的诱饵文档传播此勒索病毒的最新样本

勒索赎金为:0.13967635 BTC，相当于1200美元，过期翻倍，我去！现在搞勒索都这么黑的，上次还是400美元，这次直接1200美元了，黑客的BTC钱包地址：

334yPgzDkqD7vvh2GKMrFSQneWVp2onvUq

文档内容上显示的时间为2019年11月12日，估计是12号制作的诱饵文档,最近一段时间一些流行的勒索病毒家族主要使用漏洞和垃圾邮件两种方式进行传播感染，各企业一定要做好相应的防范措施，大部分流行的勒索病毒暂无公开的解密工具，此勒索病毒之前主要使用漏洞利用工具包，通过假虚网站或垃圾网站挂马的方式进行传播，此次又增加了垃圾邮件文档的方式进行传播，可见勒索病毒黑客团伙不断在更新增加自己的攻击传播方式，以获取最大的利益，未来会不会也会利用无文件的方式传播此勒索病毒呢？

IOC

MD5

a2d631fcb08a6c840c23a8f46f6892dd

a0c5b4adbcd9eb6de9d32537b16c423b

C&C

149.56.245.196

91.218.114.4   

91.218.114.25  

91.218.114.11  

91.218.114.26  

91.218.114.31

URL

hxxp://149.56.245.196/wordupd.tmp

hxxp://91.218.114.4/messages/content/appvsgp.html?kakp=2mj&rkjn=koimf  

hxxp://91.218.114.11/forum/hhiwoqn.action  

hxxp://91.218.114.4/messages/jwt.asp?rgct=dp&gf=m1h&igtu=617lg1ps42&q=0q7r0l6v

hxxp://91.218.114.25/view/check/fvksl.html?dab=a6tud3  

hxxp://91.218.114.26/archive/pj.jspx?wi=h1265&hi=e 

hxxp://91.218.114.31/support/mkhbm.action?vshw=m627m   

hxxp://91.218.114.11/ticket/nsa.jsp?efd=g0xay3bx&mtu=1 

hxxp://91.218.114.25/pipkl.cgi?ampf=8613eu&cnp=wc6502gj16&q=5m&ycme=35s4b  

hxxp://91.218.114.31/check/s.phtml?uxkv=wjebu46&wmbk=12vc05ja7m

hxxp://91.218.114.26/support/uuxyhvhu.do?ic=wjpr4uy&lpap=2&edem=62i22cgi41&p=dj6

最后欢迎大家关注此微信公众号，专注于全球最新的恶意样本的分析与研究，深度追踪与解析恶意样本背后的黑色产业链，关注全球最新的安全攻击技术，及时提供全球最新最有价值的威胁情报信息

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)