色婷婷激婷婷深爱五月小说-色婷婷精品-色婷婷精品大全在线视频-色婷婷精品视频-全免费午夜一级毛片真人-全免费一级毛片在线播放

游戲輔助暗藏定時勒索，360安全大腦精準“拆彈”

2025-03-13 15:36:32
我要分享


微信掃碼分享

FreeFix概況

近期，360安全大腦監(jiān)測到一款勒索軟件新變種傳播異常活躍。對其進行溯源發(fā)現(xiàn)，該勒索軟件主要通過游戲輔助作弊工具或所謂破解版進行傳播。受害設備感染該勒索軟件后，重要數(shù)據(jù)文件內(nèi)容會被加密，而文件的擴展名會被改為".FreeFix"。經(jīng)分析，該勒索軟件采用RSA算法結合RC4算法的加密策略，兼顧了加密的安全性與速度。

與常見家族不同的是這款名為FreeFix的勒索軟件在潛伏方面進行了精心的設計。通常情況下勒索軟件均會采用傳統(tǒng)的“瞬發(fā)式引爆”，即軟件執(zhí)行后以便立刻開始執(zhí)行加密操作。而FreeFix則采用了“延遲觸發(fā)”的攻擊模式：在初始感染受害設備后便保持潛伏狀態(tài)，待時機成熟后才開始加密用戶文件。這一特性也使得用戶難以追溯感染源頭，進而使其傳播鏈條更難被發(fā)現(xiàn)與阻斷。此外，F(xiàn)reeFix在解密方面也存在“陷阱”——用戶一旦輸入錯誤密鑰嘗試解密，被加密文件很可能會被徹底破壞造成數(shù)據(jù)的永久損失。所以針對該情況我們也要提醒廣大受害者——發(fā)現(xiàn)感染了FreeFix后請不要輕易嘗試自行解密，應尋求專業(yè)人士進行操作。

值得注意的是，通過360安全大腦對該勒索軟件加密算法的深入分析，我們發(fā)現(xiàn)其存在技術缺陷。針對這一缺陷進行技術攻關后，360反勒索服務第一時間完成了對該勒索軟件的解密工作。如果有用戶不幸遭到FreeFix的攻擊，可以聯(lián)系360反勒索服務嘗試進行免費解密。

傳播與攻擊

經(jīng)溯源分析發(fā)現(xiàn)，F(xiàn)reeFix會利用多款熱門游戲輔助進行傳播，傳播渠道關鍵詞如下：

圖1. FreeFix傳播渠道關鍵詞

根據(jù)360的大數(shù)據(jù)進行統(tǒng)計，該勒索軟件在全國多個地區(qū)均有傳播，其大體分布情況如下：

圖2. FreeFix國內(nèi)各省傳播分布?

以下則是我們繪制的FreeFix攻擊流程簡圖：

圖3. FreeFix攻擊流程簡圖

樣本分析

下面，結合我們捕獲到的勒索軟件樣本進行技術層面的拆解分析。

初期部署

勒索軟件樣本被執(zhí)行后，會釋放名為FreeFix.dll的動態(tài)鏈接庫文件到文檔目錄中，并加載。首次加載時會調(diào)用其導出函數(shù)InsertSvc來創(chuàng)建一個顯示名為FreeFix的系統(tǒng)服務。該服務指向的功能文件就是這個FreeFix.dll，以此完成長期駐留：

圖4. 創(chuàng)建系統(tǒng)服務實現(xiàn)長期駐留

設置“觸發(fā)引信”

FreeFix服務安裝后第一次執(zhí)行，會寫入注冊表Trigger值并設置為10天后觸發(fā)勒索加密功能：

圖5. 設置延時啟動的功能代碼

設置完成后，對應的注冊表內(nèi)容如下：

圖6. 被設置后的注冊表內(nèi)容

執(zhí)行加密

完成了上述的“引信”部署后，程序代碼會不斷檢測當前的系統(tǒng)時間。一旦滿足注冊表中Trigger所設置的觸發(fā)時間便會啟動核心的加密功能。加密工作啟動后，勒索軟件首先會生成一組16位隨機的密鑰。

圖7. 勒索軟件生成加密密鑰

與此同時，索軟件還會獲取當前系統(tǒng)時間進行拼接，再用RSA2048的內(nèi)置公鑰進行加密后保存到C:\key.data文件中。

圖8. 利用內(nèi)置公鑰生成密鑰文件

其內(nèi)置的RSA公鑰如下（密鑰長度為2048位）

-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyM425HWlj6x232/SEJU9

0pRquaM7bxMXuAYCIBKqNsUALUDUo+uJKq6sTHpWvrZS7rt93ZXlq0xep/qg/PsX

udsDZGsfu8SedF3Qsaqt8VioXhwLNnoO7U/RKWhowVniYJe6r6MhDe1xmQs4IdBH

gK67IyNtnKqOVIiiFCuIxxJlWdxinqrUZjQpUK6e6wCqk9+KXTQE0hRr7MgWxf4I

X9ExXLP5gASKUVXeWIPYC1KldgfcB6A4RvxCgIsk1fVRW1SUzh3VrMrNMvJKRFLt

uCsiT0kdhkG/gPRBc2EvsximCsm6KEqM6LmDQz0Ciy4gIRB1aKsTANrWzYVO9LkP

rQIDAQAB

-----END PUBLIC KEY-----

完成key文件的保存后，F(xiàn)reeFix開始遍歷系統(tǒng)中的所有文件，這其間會排除一些特定格式不進行加密操作：

圖9. 遍歷文件

被FreeFix排除（不被加密）的格式如下：

.bat .bin .com .cfg .client .dat .dll .exe .gif .icon .ico .ini .info .json .jar .class .flv .krc .lnk .lib .log .lrc .pak .tmp .xml .ocx .obj .swf .sf .sh .sys .rc .rll .rom .rsa .rtf .rs .inf .FreeFix

而在加密文件的過程中，則使用了RC4算法來實現(xiàn)性能層面的高效化。