Maoloa 勒索软件：仍在升级的灾难制造者

近期，鸿萌接到若干起客户文件被 Maoloa 勒索软件(
.Globeimposter-Alpha865qqz后缀)加密的案例。

1. 什么是 Maoloa 勒索软件？

Maoloa 勒索软件首次出现在2019年。这也是 2019 年 7 月罗马尼亚医院遭受攻击时使用的恶意软件之一。Maoloa 与之前的 GlobeImposter 勒索软件有一定关系。

Maoloa 病毒家族故意使用迷惑性的文件后缀，如
.GlobeImposter-Alpha865qqz 等，使用人们误以为这是GlobeImposter家族的病毒。该病毒通过钓鱼邮件或邮件附件来感染受害者机器，并向其文件（主要为音视频文件、图片、备份文件、银行数据及其他个人文件）添加
.GlobeImposter-Alpha865qqz后缀来加密这些文件，使其无法再被使用。Maoloa 勒索软件会在受害者机器中留下勒索信息文件（HOW TO BACK YOUR FILES.exe），怂恿受害者支付赎金以重新获得这些文件：

2. Maoloa ( .GlobeImposter-Alpha865qqz) 病毒是怎样感染受害者机器的？

.GlobeImposter-Alpha865qqz 病毒文件通过恶意负载来触发病毒的恶意脚本，达到扩散病毒的目的。该病毒还可以通过 交媒体及文件共享服务来传播其恶意负载。同时， 上的免费软件中也可能会隐藏着病毒的恶意脚本。

.GlobeImposter-Alpha865qqz 病毒文件可以在 Windows 注册表中输入条目以实现其存在的持久性，并可以在 Windows 系统中启动或压制进程。该病毒还可以通过以下命令来删除 Windows 操作系统中的卷影副本：

→vssadmin.exe delete shadows /all /Quiet

3. Maoloa 勒索软件新动向

目前发现了 Maoloa 勒索软件较新的样本（检测为
Ransom.Win32.MAOLOA.THAAHBA），它被包含在一个 7-Zip SFX 文件中。此变体还使用了合法工具 certutil.exe 和 Autoit 脚本。所有这些新增手段都是我们在以前的变种中没有观察到的逃避伎俩。以前遇到的 Maoloa 变种使用的是普通未压缩的二进制文件。

执行包含 Maoloa 勒索软件的 SFX 文件

一旦被执行，携带 Maoloa 勒索软件有效负载的自解压文件将会投放上图中所示的四个文件。

Maoloa 勒索软件就包含在这些文件中，一旦被解密，将开始执行其加密过程，并扔下勒索信息文件。与该勒索病毒以往的变种类似，虽然不属于 GlobeImposter 家族，但其加密的文件后缀却是“
.GlobeImposter-Alpha865qqz”。

被 Maoloa 加密的文件及勒索信息

4. 如何预防被勒索软件攻击？

正如这些勒索软件家庭所示，威胁行为者将继续磨练他们的恶意软件，以确保其活动的成功，无论是对其受害者施加更大的压力，使其遵守他们的要求，还是只是更好地伪装他们的恶意活动，以逃避检测。

勒索软件目前正在经历快速的变化，需要观察和准备。以下是用户和组织可用于保护自己免受勒索软件侵害的措施：

5. 鸿萌易备：提供主动防勒索病毒的保护机制

鸿萌易备数据备份软件是一款简单高效轻量型的软件，为个人计算机及服务器提供全方位的保护方案。主要用于进行 Windows 系统中的数据备份任务，可满足各种数据备份需求：系统备份、数据库备份、虚拟机备份、Exchange 邮件服务器备份、磁带备份等。

鸿萌易备数据备份软件提供多种安全防护机制，除了军用级别的 AES 256 位加密之外，还提供强效的主动防勒索者病毒的保护机制，为用户数据构筑坚固的安全防护盾牌。

易备支持同时向多个目标位置同时拷贝多个备份副本。支持如下目标存储设备：本地硬盘、移动硬盘、NAS、磁带、云存储服务等。异地存储是保障备份文件安全的强有效方式。

勒索者病毒从未隐退，加强 络安全防护、做好数据备份是企业务必做好的安全防范举措。