2025-03-14 18:40 北京
游戏辅助工具暗藏新型勒索风险,全国多地区已受波及
近日,360数字安全集团监测到一款主要通过游戏辅助作弊工具或所谓破解版进行传播的勒索软件新变种异常活跃。受害设备感染该勒索软件后,重要数据文件内容会被加密,扩展名会被改为".FreeFix"。360安全大模型经溯源分析发现,FreeFix会利用多款热门游戏辅助进行传播,并具备鲜明有特色:
1
在算法方面,其采用了RSA算法结合RC4算法的加密策略,兼顾了加密的安全性与速度。
2
在潜伏方面,其进行了与常见家族不同的精心设计。通常情况下,勒索软件均会采用传统的“瞬发式引爆”,即软件执行后以便立刻开始执行加密操作。而FreeFix则采用了“延迟触发”的攻击模式,在初始感染受害设备后便保持潜伏状态,待时机成熟后才开始加密用户文件。这一特性使用户难以追溯感染源头,进而使其传播链条更难被发现与阻断。
3
在解密方面,FreeFix也存在“陷阱”——用户一旦输入错误密钥尝试解密,被加密文件很可能会被彻底破坏造成数据的永久损失。因此,如若政企机构发现感染了FreeFix后请不要轻易尝试自行解密,应寻求专业人士进行操作。
目前,该勒索软件已在全国多个地区均有传播,山东省、广东省、福建省受到影响最为严重。
360安全大模型经进一步分析发现,该勒索软件样本被执行后,会释放名为FreeFix.dll的动态链接库文件到文档目录中并加载。首次加载时,其会调用其导出函数InsertSvc来创建一个显示名为FreeFix的系统服务。该服务指向的功能文件就是FreeFix.dll,以此完成长期驻留。
FreeFix服务安装后第一次执行,会写入注册表Trigger值并设置为10天后触发勒索加密功能。完成了“引信”部署后,程序代码会不断检测当前的系统时间,一旦满足注册表中Trigger所设置的触发时间,便会启动核心的加密功能。
在加密过程中,勒索软件会生成一组16位随机密钥,同时还会获取当前系统时间进行拼接,再用RSA2048的内置公钥进行加密后,保存到C:\key.data文件中。而后,FreeFix便会开始遍历系统中的所有文件,这其间会排除一些特定格式不进行加密操作,针对加密的文件则使用RC4算法来实现性能层面的高效化。
在完成加密操作后,该勒索软件会将被加密的文件修改扩展名改为.FreeFix,并在文件内容尾部额外附加一段文件路径及文件大小信息。最终,FreeFix勒索软件还会创建名为note.txt的勒索信息文件,同时会弹出要求输入Password解密的程序界面。
由于解密程序未对密钥是否能正确解密文件进行校验,受害用户输入任意内容都会进入到解密流程中,但随意输入的解密密钥则会导致“解密”出来的文件内容全部是混乱且错误的。所以在没有正确解密密钥的情况下,建议不要随意尝试解密。这可能会让文件数据错乱,导致即便此后拿到了正确的加密密钥,也难以恢复被加密的文件。
360数字安全集团
经分析,360安全大模型发现该勒索软件的加密算法逻辑存在设计缺陷,可以在较短时间内完成对勒索软件的破解,无需支付赎金即可恢复被加密的文件。
作为数字安全的领导者,360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验,以及全球顶级安全专家团队等优势能力,360推出基于安全大模型赋能的勒索病毒防护解决方案,能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀,实现多方位、全流程、体系化、智能化的勒索防护。
让病毒进不来
在终端、流量侧部署360探针产品,通过互联网入口检测阻断等主动防御功能,能够在病毒落地时进行查杀拦截;
让病毒散不开
由360安全大模型支撑,对勒索病毒的异常加密行为和横向渗透攻击行为,进行智能化分析拦截和检测阻断,实现“一点发现,全网阻断”;
让病毒难加密
通过终端安全探针结合云端情报赋能,利用安全大模型的溯源分析能力,能够精准判断勒索病毒身份,并进行反向查杀;同时内置文档备份机制,可无感知备份日常办公文档和敏感业务数据,对备份区文件进行全面保护,不允许第三方程序对备份区进行非授权操作,从而阻断勒索病毒对备份区的加密行为;
加密后易恢复
该方案内置大量360独家文档解密工具及云端解密平台,云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密,能够实现加密后的全方位恢复工作。
目前,360勒索病毒防护解决方案已经实现对该类勒索病毒的全面查杀&解密。同时,针对不同类别的勒索病毒,该方案还根据不同客户体量与需求推出了多元产品及服务套餐,已累计为超万例勒索病毒救援求助提供帮助。
如需咨询相关服务
请联系电话
400-0309-360
往期推荐
| |||
| |||
| |||
|
