FreeFix概況

近期，360安全大腦監(jiān)測到一款勒索軟件新變種傳播異?；钴S。對其進(jìn)行溯源發(fā)現(xiàn)，該勒索軟件主要通過游戲輔助作弊工具或所謂破解版進(jìn)行傳播。受害設(shè)備感染該勒索軟件后，重要數(shù)據(jù)文件內(nèi)容會被加密，而文件的擴(kuò)展名會被改為".FreeFix"。經(jīng)分析，該勒索軟件采用RSA算法結(jié)合RC4算法的加密策略，兼顧了加密的安全性與速度。

與常見家族不同的是這款名為FreeFix的勒索軟件在潛伏方面進(jìn)行了精心的設(shè)計。通常情況下勒索軟件均會采用傳統(tǒng)的“瞬發(fā)式引爆”，即軟件執(zhí)行后以便立刻開始執(zhí)行加密操作。而FreeFix則采用了“延遲觸發(fā)”的攻擊模式：在初始感染受害設(shè)備后便保持潛伏狀態(tài)，待時機(jī)成熟后才開始加密用戶文件。這一特性也使得用戶難以追溯感染源頭，進(jìn)而使其傳播鏈條更難被發(fā)現(xiàn)與阻斷。此外，F(xiàn)reeFix在解密方面也存在“陷阱”——用戶一旦輸入錯誤密鑰嘗試解密，被加密文件很可能會被徹底破壞造成數(shù)據(jù)的永久損失。所以針對該情況我們也要提醒廣大受害者——發(fā)現(xiàn)感染了FreeFix后請不要輕易嘗試自行解密，應(yīng)尋求專業(yè)人士進(jìn)行操作。

值得注意的是，通過360安全大腦對該勒索軟件加密算法的深入分析，我們發(fā)現(xiàn)其存在技術(shù)缺陷。針對這一缺陷進(jìn)行技術(shù)攻關(guān)后，360反勒索服務(wù)第一時間完成了對該勒索軟件的解密工作。如果有用戶不幸遭到FreeFix的攻擊，可以聯(lián)系360反勒索服務(wù)嘗試進(jìn)行免費(fèi)解密。

傳播與攻擊

經(jīng)溯源分析發(fā)現(xiàn)，F(xiàn)reeFix會利用多款熱門游戲輔助進(jìn)行傳播，傳播渠道關(guān)鍵詞如下：

圖1. FreeFix傳播渠道關(guān)鍵詞

根據(jù)360的大數(shù)據(jù)進(jìn)行統(tǒng)計，該勒索軟件在全國多個地區(qū)均有傳播，其大體分布情況如下：

圖2. FreeFix國內(nèi)各省傳播分布?

以下則是我們繪制的FreeFix攻擊流程簡圖：

圖3. FreeFix攻擊流程簡圖

樣本分析

下面，結(jié)合我們捕獲到的勒索軟件樣本進(jìn)行技術(shù)層面的拆解分析。

初期部署

勒索軟件樣本被執(zhí)行后，會釋放名為FreeFix.dll的動態(tài)鏈接庫文件到文檔目錄中，并加載。首次加載時會調(diào)用其導(dǎo)出函數(shù)InsertSvc來創(chuàng)建一個顯示名為FreeFix的系統(tǒng)服務(wù)。該服務(wù)指向的功能文件就是這個FreeFix.dll，以此完成長期駐留：

圖4. 創(chuàng)建系統(tǒng)服務(wù)實現(xiàn)長期駐留

設(shè)置“觸發(fā)引信”

FreeFix服務(wù)安裝后第一次執(zhí)行，會寫入注冊表Trigger值并設(shè)置為10天后觸發(fā)勒索加密功能：

圖5. 設(shè)置延時啟動的功能代碼

設(shè)置完成后，對應(yīng)的注冊表內(nèi)容如下：

圖6. 被設(shè)置后的注冊表內(nèi)容

執(zhí)行加密

完成了上述的“引信”部署后，程序代碼會不斷檢測當(dāng)前的系統(tǒng)時間。一旦滿足注冊表中Trigger所設(shè)置的觸發(fā)時間便會啟動核心的加密功能。加密工作啟動后，勒索軟件首先會生成一組16位隨機(jī)的密鑰。

圖7. 勒索軟件生成加密密鑰

與此同時，索軟件還會獲取當(dāng)前系統(tǒng)時間進(jìn)行拼接，再用RSA2048的內(nèi)置公鑰進(jìn)行加密后保存到C:\key.data文件中。

圖8. 利用內(nèi)置公鑰生成密鑰文件

其內(nèi)置的RSA公鑰如下（密鑰長度為2048位）

-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyM425HWlj6x232/SEJU9

0pRquaM7bxMXuAYCIBKqNsUALUDUo+uJKq6sTHpWvrZS7rt93ZXlq0xep/qg/PsX

udsDZGsfu8SedF3Qsaqt8VioXhwLNnoO7U/RKWhowVniYJe6r6MhDe1xmQs4IdBH

gK67IyNtnKqOVIiiFCuIxxJlWdxinqrUZjQpUK6e6wCqk9+KXTQE0hRr7MgWxf4I

X9ExXLP5gASKUVXeWIPYC1KldgfcB6A4RvxCgIsk1fVRW1SUzh3VrMrNMvJKRFLt

uCsiT0kdhkG/gPRBc2EvsximCsm6KEqM6LmDQz0Ciy4gIRB1aKsTANrWzYVO9LkP

rQIDAQAB

-----END PUBLIC KEY-----

完成key文件的保存后，F(xiàn)reeFix開始遍歷系統(tǒng)中的所有文件，這其間會排除一些特定格式不進(jìn)行加密操作：

圖9. 遍歷文件

被FreeFix排除（不被加密）的格式如下：

.bat .bin .com .cfg .client .dat .dll .exe .gif .icon .ico .ini .info .json .jar .class .flv .krc .lnk .lib .log .lrc .pak .tmp .xml .ocx .obj .swf .sf .sh .sys .rc .rll .rom .rsa .rtf .rs .inf .FreeFix

而在加密文件的過程中，則使用了RC4算法來實現(xiàn)性能層面的高效化。

圖10. 使用RC4算法加密文件

在完成加密操作后，勒索軟件最終會將被加密的文件修改擴(kuò)展名改為.FreeFix。

圖11. 修改擴(kuò)展名為.FreeFix

此外，被加密完成的文件內(nèi)容尾部還會被額外附加一段文件路徑及文件大小信息。

圖12. 被加密文件內(nèi)容尾部被附加信息

勒索信息

完成全部加密工作后，勒索軟件會創(chuàng)建名為note.txt的勒索信息文件。

圖13. 創(chuàng)建勒索信息文件

與此同時，F(xiàn)reeFix還會彈出要求輸入Password解密的程序界面。由于解密程序未對密鑰是否能正確解密文件進(jìn)行校驗，受害用戶輸入任意內(nèi)容都會進(jìn)入到解密流程中。但隨意輸入的解密密鑰則會導(dǎo)致“解密”出來的文件內(nèi)容全部是混亂且錯誤的。

所以在沒有正確解密密鑰的情況下，建議不要隨意嘗試解密。這可能會讓文件數(shù)據(jù)錯亂而導(dǎo)致即便此后拿到了正確的機(jī)密密鑰也難以恢復(fù)被加密的文件。

圖14. 彈出勒索信息和解密工具

解密方案

經(jīng)分析，360安全大腦發(fā)現(xiàn)該勒索軟件的加密算法邏輯存在設(shè)計缺陷。我們利用該缺陷，可以在較短時間內(nèi)完成對勒索軟件的破解，無需支付贖金即可恢復(fù)被加密的文件。如果有用戶不幸遭到FreeFix勒索軟件攻擊，建議聯(lián)系360反勒索服務(wù)進(jìn)行免費(fèi)解密。

下面則是360反勒索服務(wù)成功解密的用戶提供的被加密文件樣例：

圖15. 成功解密案例

安全建議

針對FreeFix勒索軟件的傳播與攻擊，我們建議廣大用戶：

1.???? 警惕來源不明的軟件：尤其是游戲外掛、破解工具等灰色應(yīng)用，這些是勒索軟件的主要傳播載體。請始終從官方渠道下載應(yīng)用程序。

2.???? 定期備份重要數(shù)據(jù)：存儲在2種不同的介質(zhì)上，并保留1份以上的離線備份。確保備份數(shù)據(jù)不會同時被勒索軟件加密。

3.???? 安裝可靠的安全軟件：使用具有實時勒索防護(hù)功能的安全解決方案，可以幫助檢測和阻止勒索軟件的安裝和執(zhí)行。