360反勒索服務(wù)率先解密MiddCrypto勒索軟件

近日，一款偽裝性極強(qiáng)的勒索軟件在網(wǎng)絡(luò)中悄然蔓延。該軟件被我們命名為“MiddCrypto”，其通常偽裝成Typora注冊(cè)機(jī)、Photoshop激活工具、Keyshot 2025注冊(cè)機(jī)等常用軟件的破解補(bǔ)丁進(jìn)行傳播。與以往那些用著成熟且復(fù)雜的加密算法、動(dòng)輒索要價(jià)值數(shù)千上萬(wàn)美元虛擬貨幣的“高端”勒索家族不同，MiddCrypto會(huì)使用一種“極簡(jiǎn)”的加密算法來(lái)加密文件，隨后還會(huì)在中招系統(tǒng)中彈出一個(gè)頗具迷惑性的窗口，聲稱是“系統(tǒng)修復(fù)”，并誘導(dǎo)用戶支付99元人民幣購(gòu)買所謂的“修復(fù)服務(wù)”。這種“接地氣”的勒索手段使得不少網(wǎng)絡(luò)安全防范意識(shí)較弱的用戶不慎掉入了陷阱。

360反勒索服務(wù)通過(guò)對(duì)該勒索軟件代碼的深度逆向分析，我們發(fā)現(xiàn)其加密邏輯是一種異常簡(jiǎn)單的字節(jié)位移變換。這種加密手段當(dāng)然也能讓正常文件無(wú)法正常打開(kāi)，但360反勒索服務(wù)已在第一時(shí)間完全掌握了該病毒的解密邏輯并成功解密。已經(jīng)不幸中招的用戶，請(qǐng)勿輕信勒索彈窗而支付贖金，這既是對(duì)個(gè)人財(cái)產(chǎn)安全的守護(hù)，也避免助長(zhǎng)黑產(chǎn)分子的囂張氣焰。目前，360解密大師已支持對(duì)被該勒索軟件加密文件的全自動(dòng)解密，幫助用戶挽回?fù)p失，保障數(shù)據(jù)安全。

偽裝與傳播

MiddCrypto通常將自身偽裝成各類常用軟件的破解版或破解工具，并掛到精心構(gòu)造的釣魚網(wǎng)站頁(yè)面上。之后再通過(guò)對(duì)搜索引擎的SEO投放來(lái)增加自身的搜索曝光，以實(shí)現(xiàn)傳播效率和范圍的最大化。

最為常見(jiàn)的便是偽裝成“含破解工具”的Photoshop安裝程序，誘導(dǎo)用戶下載并安裝。

?

圖1. 偽裝為“免費(fèi)激活Photoshop”的勒索軟件下載頁(yè)面?

此外，我們還捕獲了偽裝成Typora激活工具的博客頁(yè)面，也是另一種無(wú)需自行建站的釣魚方式。

?

圖2. 偽裝成破解工具并利用博客傳播的勒索軟件?

當(dāng)用戶誤將這些偽裝的激活工具下載到本地運(yùn)行后，也確實(shí)可以看到軟件彈出的激活界面，這也進(jìn)一步讓用戶卸下了戒備心理。

?

圖3. 虛假的Photoshop激活工具

?

圖4. 虛假的Photoshop激活工具

依托360云端大數(shù)據(jù)，對(duì)MiddCrypto的云端監(jiān)控?cái)?shù)據(jù)進(jìn)行分析梳理，我們歸納出了該勒索軟件的傳播鏈?zhǔn)疽鈭D。

?

圖5. MiddCrypto勒索軟件傳播全流程示意圖?

前期部署

所謂的注冊(cè)機(jī)、激活工具被啟動(dòng)后，會(huì)根據(jù)其內(nèi)置的云控URL中偷偷下載惡意軟件載荷到本地，并添加為系統(tǒng)服務(wù)加以執(zhí)行。

?

圖6. 根據(jù)云控URL獲取惡意軟件載荷

這個(gè)惡意服務(wù)啟動(dòng)后，會(huì)從注冊(cè)表中讀取虛假激活工具前期部署好的一些文件信息，其中就包括勒索加密以及誘導(dǎo)支付相關(guān)的程序路徑。

?

圖7. 注冊(cè)表中的勒索相關(guān)信息

之后，惡意載荷會(huì)檢測(cè)當(dāng)前系統(tǒng)中是否存在安全軟件。而檢查的安全軟件進(jìn)程名會(huì)優(yōu)先從云端獲取，如果沒(méi)有獲取到則使用軟件內(nèi)置的列表。

?

圖8. 待檢查的安全軟件進(jìn)程名列表

經(jīng)分析梳理，其檢查的安全軟件完整列表如下：

表1. 完整的待檢測(cè)安全軟件列表

加密勒索

經(jīng)過(guò)詳細(xì)分析發(fā)現(xiàn)，該勒索軟件雖然勒索金額不高，加密算法也相對(duì)簡(jiǎn)單，但其具體的加密流程還是隱藏了不少“小心思”的。下面，我們就拆解一下其精心構(gòu)造的加密流程。

代碼中的“引線”

這款勒索軟件并非像通常的勒索軟件那樣落地運(yùn)行后便立刻開(kāi)始加密，而是在滿足了特定的觸發(fā)流程后再進(jìn)行加密。加密任務(wù)的啟動(dòng)“引線”是代碼中一個(gè)名為isExecute值——這個(gè)值會(huì)被軟件循環(huán)檢查。

?

圖9. 代碼中啟動(dòng)加密流程的“引線”?

而觸發(fā)這個(gè)引線會(huì)根據(jù)當(dāng)前是否可以訪問(wèn)到云控服務(wù)器而分為在線或離線兩種模式。

當(dāng)軟件可以正常訪問(wèn)到其云控服務(wù)器時(shí)，會(huì)優(yōu)先采用“在線模式”。在這種模式下，勒索軟件會(huì)對(duì)遠(yuǎn)端服務(wù)器發(fā)起以10秒為周期的循環(huán)訪問(wèn)。每次訪問(wèn)會(huì)發(fā)送本地信息到云端，并嘗試獲取云端的控制數(shù)據(jù)，來(lái)判斷是否需要給isExecute賦值為true來(lái)將其“點(diǎn)燃”。

而如果當(dāng)前設(shè)備沒(méi)有聯(lián)網(wǎng)或因其他問(wèn)題無(wú)法訪問(wèn)到云控服務(wù)器，該軟件會(huì)檢測(cè)自身在當(dāng)前設(shè)備中的運(yùn)行時(shí)間，如果發(fā)現(xiàn)已經(jīng)運(yùn)行超過(guò)7天，同樣也會(huì)啟動(dòng)加密。此外，即便在能夠訪問(wèn)云控服務(wù)器的環(huán)境下，如果其檢測(cè)到已經(jīng)在當(dāng)前設(shè)備中累計(jì)運(yùn)行了超過(guò)90天，而依然沒(méi)有得到“點(diǎn)燃引線”的命令，便同樣會(huì)直接啟動(dòng)最終的加密流程。

?

圖10. 離線模式觸發(fā)“引線”的邏輯代碼?

加密前最后的驗(yàn)證

不過(guò)，即便“引線”被點(diǎn)燃，MiddCrypto依舊需要先執(zhí)行一些前置的驗(yàn)證工作。具體的驗(yàn)證工作如下：

l硬件指紋校驗(yàn)
MiddCrypto程序會(huì)通過(guò)獲取當(dāng)前設(shè)備的硬件指紋信息。如果無(wú)法獲取則部分邏輯會(huì)中斷。

l文件索引建立
勒索軟件會(huì)通過(guò)讀取本地硬盤的主文件表來(lái)快速遍歷全盤文件。如果索引創(chuàng)建失敗，則加密無(wú)法高效進(jìn)行。

l獲取密鑰
在最終的加密流程啟動(dòng)前，會(huì)嘗試從服務(wù)器獲取用來(lái)加密的密鑰。如果是離線，則退而求其次使用前面獲取到的硬件指紋信息作為密鑰。

加密目標(biāo)與排除范圍

加密流程一旦被觸發(fā)，MiddCrypto會(huì)對(duì)帶有其內(nèi)置的數(shù)百種后綴的文件進(jìn)行加密。

l主要目標(biāo)覆蓋了各類常見(jiàn)的重要文檔類型

n文檔：doc / pdf / xls

n圖片：jpg / png

n設(shè)計(jì)工程：psd / max / dwg / sln

n數(shù)據(jù)庫(kù)：sql / mdb / bak

n源代碼：cs / java / py / cpp

?

圖11. 待加密文件擴(kuò)展名完整列表

l排除范圍（白名單）
同時(shí)，為了保證系統(tǒng)不立即崩潰而破壞加密流程的執(zhí)行，也為了能正常向受害用戶展示勒索信息，勒索軟件特意避開(kāi)了以下路徑不進(jìn)行加密：

nC:\Windows

nProgram Files / Program Data

n瀏覽器目錄：Chrome / Edge / Firefox

n特定的系統(tǒng)用戶目錄：桌面和文檔

?

圖12. 加密流程的排除列表

誘導(dǎo)性動(dòng)作

在觸發(fā)加密的同時(shí)，勒索軟件還會(huì)執(zhí)行一系列偽裝動(dòng)作來(lái)實(shí)現(xiàn)誘騙受害用戶以及展示勒索信息的目的：

1.?在桌面上創(chuàng)建一個(gè)名為“系統(tǒng)修復(fù).lnk”的快捷方式；

2.?將快捷方式指向其釋放的惡意程序RuntimeFileApp.exe；

3.?用戶一旦發(fā)現(xiàn)文件因被加密而無(wú)法正常打開(kāi)，通常會(huì)自然而然地點(diǎn)擊桌面上的快捷方式，從而被誤導(dǎo)掃碼付費(fèi)。

?

圖13. 勒索軟件釋放的誘導(dǎo)快捷方式

加密算法破解

該加密邏輯可以拆解為三個(gè)部分：文件結(jié)構(gòu)、加密算法、遍歷方式。

加密后的文件會(huì)在原始數(shù)據(jù)前面增加40個(gè)字節(jié)的固定內(nèi)容，用來(lái)讓勒索軟件后續(xù)判斷該文件是否已被加密，避免重復(fù)加密。

?

圖14. 為加密后的文件頭部添加已加密標(biāo)簽數(shù)據(jù)?

之后，MiddCrypto會(huì)以1MB的大小分段循環(huán)讀取文件，再?gòu)拿恳粎^(qū)域的索引1號(hào)位（即第二個(gè)字節(jié)）開(kāi)始，以15字節(jié)為一個(gè)循環(huán)執(zhí)行加密運(yùn)算，具體算法邏輯如下：

?

圖15. 循環(huán)加密算法邏輯

對(duì)比原始文件與被加密后文件的內(nèi)容，其異同也印證了我們經(jīng)代碼分析梳理出的加密邏輯。

?

圖16. 經(jīng)勒索軟件加密前后的文件內(nèi)容對(duì)比

嘗試打開(kāi)被加密后的文件，會(huì)出現(xiàn)打開(kāi)錯(cuò)誤的提示。

?

圖17. 因文件格式損壞而導(dǎo)致無(wú)法打開(kāi)?

詐騙與勒索

MiddCrypto拼接不同的URL并進(jìn)行訪問(wèn)，分別用來(lái)獲取：域名更新、安全軟件列表、收款二維碼、IP信息、在線溝通頁(yè)面、惡意載荷下載鏈接等。

?

圖18. 通過(guò)拼接不同URL獲取不同功能?

我們嘗試訪問(wèn)其在線溝通頁(yè)面，會(huì)看到一個(gè)在線聊天窗口用以和攻擊者進(jìn)行“討價(jià)還價(jià)”。

?

圖19. 在線溝通頁(yè)面?

此外，勒索軟件還會(huì)收集用戶桌面文件及快捷方式列表。

?

圖20. 勒索軟件收集用戶桌面信息

受害用戶一旦發(fā)現(xiàn)文件損壞而被誤導(dǎo)點(diǎn)擊“系統(tǒng)修復(fù)”快捷方式，誘騙程序便會(huì)假意檢測(cè)文件損壞問(wèn)題并最終索要99元的“修復(fù)費(fèi)用”：

?

圖21. 誘導(dǎo)程序索要“修復(fù)費(fèi)用”?

用戶一旦點(diǎn)擊立即支付后，便會(huì)跳轉(zhuǎn)到支付頁(yè)面，并且非常“貼心”地支持支付寶和微信兩種支付方式。

?

圖22. 最終的支付頁(yè)面?

在等待用戶支付的過(guò)程中，該程序還會(huì)非常專業(yè)地在后臺(tái)不斷循環(huán)檢查支付狀態(tài)，該狀態(tài)包含支付金額、鏈接等信息。此外，索要的金額也可云端動(dòng)態(tài)調(diào)整。此前是299元，后降價(jià)調(diào)整為99元。

?

圖23. 循環(huán)檢查支付狀態(tài)?

若檢測(cè)到受害用戶已完成支付，誘導(dǎo)程序則會(huì)提示支付成功并引導(dǎo)用戶重啟電腦。

?

圖24. 提示支付成功并引導(dǎo)系統(tǒng)重啟?

防護(hù)與解密

目前，360已對(duì)此類釣魚傳播頁(yè)面進(jìn)行有效攔截。

?

圖25. 360攔截釣魚頁(yè)面?

同時(shí)，360反勒索服務(wù)也已第一時(shí)間針對(duì)該勒索開(kāi)發(fā)出了專用解密工具，全力協(xié)助受害用戶恢復(fù)被加密的文件，最大限度挽回用戶損失。

?

圖26. 360第一時(shí)間提供MiddCrypto解密工具

安全建議

針對(duì)此類通過(guò)破解軟件傳播的勒索軟件，我們建議廣大用戶采取以下防護(hù)措施：

l拒絕來(lái)源不明的“注冊(cè)機(jī)”
破解補(bǔ)丁、激活工具是勒索軟件最常寄生的溫床，對(duì)于安全軟件報(bào)毒的此類工具，切勿輕易添加信任或按此類軟件誘導(dǎo)退出安全軟件運(yùn)行。請(qǐng)支持正版軟件，且從官方渠道下載應(yīng)用。

l警惕“低價(jià)修復(fù)”陷阱
任何聲稱“系統(tǒng)修復(fù)”并要求支付小額費(fèi)用的彈窗提示，都有可能是病毒的偽裝。請(qǐng)務(wù)必核實(shí)軟件來(lái)源。

l部署專業(yè)安全防護(hù)軟件
確保電腦中安裝有360安全衛(wèi)士等具備啟發(fā)式掃描和勒索防護(hù)能力的防護(hù)產(chǎn)品，并保持實(shí)時(shí)防護(hù)開(kāi)啟。

l養(yǎng)成重要數(shù)據(jù)備份習(xí)慣
遵循“3-2-1”備份方案，即：3份備份；2種介質(zhì)；1份異地。數(shù)據(jù)備份是對(duì)抗任何勒索軟件的最終底牌。

l中招后第一時(shí)間斷網(wǎng)
發(fā)現(xiàn)文件異常或彈出勒索窗口，應(yīng)立即斷開(kāi)網(wǎng)絡(luò)，防止病毒接收遠(yuǎn)程指令繼續(xù)擴(kuò)大破壞范圍，并使用360解密大師進(jìn)行嘗試解密，對(duì)于此類問(wèn)題也可去360論壇反饋。