360反勒索服務(wù)率先解密MiddCrypto勒索軟件

2026-01-07 18:28:22
我要分享


微信掃碼分享

近日，一款偽裝性極強(qiáng)的勒索軟件在網(wǎng)絡(luò)中悄然蔓延。該軟件被我們命名為“MiddCrypto”，其通常偽裝成Typora注冊機(jī)、Photoshop激活工具、Keyshot 2025注冊機(jī)等常用軟件的破解補(bǔ)丁進(jìn)行傳播。與以往那些用著成熟且復(fù)雜的加密算法、動輒索要價值數(shù)千上萬美元虛擬貨幣的“高端”勒索家族不同，MiddCrypto會使用一種“極簡”的加密算法來加密文件，隨后還會在中招系統(tǒng)中彈出一個頗具迷惑性的窗口，聲稱是“系統(tǒng)修復(fù)”，并誘導(dǎo)用戶支付99元人民幣購買所謂的“修復(fù)服務(wù)”。這種“接地氣”的勒索手段使得不少網(wǎng)絡(luò)安全防范意識較弱的用戶不慎掉入了陷阱。

360反勒索服務(wù)通過對該勒索軟件代碼的深度逆向分析，我們發(fā)現(xiàn)其加密邏輯是一種異常簡單的字節(jié)位移變換。這種加密手段當(dāng)然也能讓正常文件無法正常打開，但360反勒索服務(wù)已在第一時間完全掌握了該病毒的解密邏輯并成功解密。已經(jīng)不幸中招的用戶，請勿輕信勒索彈窗而支付贖金，這既是對個人財產(chǎn)安全的守護(hù)，也避免助長黑產(chǎn)分子的囂張氣焰。目前，360解密大師已支持對被該勒索軟件加密文件的全自動解密，幫助用戶挽回?fù)p失，保障數(shù)據(jù)安全。

偽裝與傳播

MiddCrypto通常將自身偽裝成各類常用軟件的破解版或破解工具，并掛到精心構(gòu)造的釣魚網(wǎng)站頁面上。之后再通過對搜索引擎的SEO投放來增加自身的搜索曝光，以實現(xiàn)傳播效率和范圍的最大化。

最為常見的便是偽裝成“含破解工具”的Photoshop安裝程序，誘導(dǎo)用戶下載并安裝。

圖1. 偽裝為“免費(fèi)激活Photoshop”的勒索軟件下載頁面?

此外，我們還捕獲了偽裝成Typora激活工具的博客頁面，也是另一種無需自行建站的釣魚方式。

圖2. 偽裝成破解工具并利用博客傳播的勒索軟件?

當(dāng)用戶誤將這些偽裝的激活工具下載到本地運(yùn)行后，也確實可以看到軟件彈出的激活界面，這也進(jìn)一步讓用戶卸下了戒備心理。

圖3. 虛假的Photoshop激活工具

圖4. 虛假的Photoshop激活工具

依托360云端大數(shù)據(jù)，對MiddCrypto的云端監(jiān)控數(shù)據(jù)進(jìn)行分析梳理，我們歸納出了該勒索軟件的傳播鏈?zhǔn)疽鈭D。

圖5. MiddCrypto勒索軟件傳播全流程示意圖?

前期部署

所謂的注冊機(jī)、激活工具被啟動后，會根據(jù)其內(nèi)置的云控URL中偷偷下載惡意軟件載荷到本地，并添加為系統(tǒng)服務(wù)加以執(zhí)行。

圖6. 根據(jù)云控URL獲取惡意軟件載荷

這個惡意服務(wù)啟動后，會從注冊表中讀取虛假激活工具前期部署好的一些文件信息，其中就包括勒索加密以及誘導(dǎo)支付相關(guān)的程序路徑。

圖7. 注冊表中的勒索相關(guān)信息

之后，惡意載荷會檢測當(dāng)前系統(tǒng)中是否存在安全軟件。而檢查的安全軟件進(jìn)程名會優(yōu)先從云端獲取，如果沒有獲取到則使用軟件內(nèi)置的列表。

圖8. 待檢查的安全軟件進(jìn)程名列表

經(jīng)分析梳理，其檢查的安全軟件完整列表如下：

表1. 完整的待檢測安全軟件列表

加密勒索

經(jīng)過詳細(xì)分析發(fā)現(xiàn)，該勒索軟件雖然勒索金額不高，加密算法也相對簡單，但其具體的加密流程還是隱藏了不少“小心思”的。下面，我們就拆解一下其精心構(gòu)造的加密流程。

代碼中的“引線”

這款勒索軟件并非像通常的勒索軟件那樣落地運(yùn)行后便立刻開始加密，而是在滿足了特定的觸發(fā)流程后再進(jìn)行加密。加密任務(wù)的啟動“引線”是代碼中一個名為isExecute值——這個值會被軟件循環(huán)檢查。

圖9. 代碼中啟動加密流程的“引線”?

而觸發(fā)這個引線會根據(jù)當(dāng)前是否可以訪問到云控服務(wù)器而分為在線或離線兩種模式。

當(dāng)軟件可以正常訪問到其云控服務(wù)器時，會優(yōu)先采用“在線模式”。在這種模式下，勒索軟件會對遠(yuǎn)端服務(wù)器發(fā)起以10秒為周期的循環(huán)訪問。每次訪問會發(fā)送本地信息到云端，并嘗試獲取云端的控制數(shù)據(jù)，來判斷是否需要給isExecute賦值為true來將其“點燃”。

而如果當(dāng)前設(shè)備沒有聯(lián)網(wǎng)或因其他問題無法訪問到云控服務(wù)器，該軟件會檢測自身在當(dāng)前設(shè)備中的運(yùn)行時間，如果發(fā)現(xiàn)已經(jīng)運(yùn)行超過7天，同樣也會啟動加密。此外，即便在能夠訪問云控服務(wù)器的環(huán)境下，如果其檢測到已經(jīng)在當(dāng)前設(shè)備中累計運(yùn)行了超過90天，而依然沒有得到“點燃引線”的命令，便同樣會直接啟動最終的加密流程。

圖10. 離線模式觸發(fā)“引線”的邏輯代碼?

加密前最后的驗證

不過，即便“引線”被點燃，MiddCrypto依舊需要先執(zhí)行一些前置的驗證工作。具體的驗證工作如下：

l硬件指紋校驗
MiddCrypto程序會通過獲取當(dāng)前設(shè)備的硬件指紋信息。如果無法獲取則部分邏輯會中斷。

l文件索引建立
勒索軟件會通過讀取本地硬盤的主文件表來快速遍歷全盤文件。如果索引創(chuàng)建失敗，則加密無法高效進(jìn)行。

l獲取密鑰
在最終的加密流程啟動前，會嘗試從服務(wù)器獲取用來加密的密鑰。如果是離線，則退而求其次使用前面獲取到的硬件指紋信息作為密鑰。

加密目標(biāo)與排除范圍

加密流程一旦被觸發(fā)，MiddCrypto會對帶有其內(nèi)置的數(shù)百種后綴的文件進(jìn)行加密。

l主要目標(biāo)覆蓋了各類常見的重要文檔類型

n文檔：doc / pdf / xls

n圖片：jpg / png

n設(shè)計工程：psd / max / dwg / sln

n數(shù)據(jù)庫：sql / mdb / bak

n源代碼：cs / java / py / cpp

圖11. 待加密文件擴(kuò)展名完整列表

l排除范圍（白名單）
同時，為了保證系統(tǒng)不立即崩潰而破壞加密流程的執(zhí)行，也為了能正常向受害用戶展示勒索信息，勒索軟件特意避開了以下路徑不進(jìn)行加密：

nC:\Windows

nProgram Files / Program Data

n瀏覽器目錄：Chrome / Edge / Firefox

n特定的系統(tǒng)用戶目錄：桌面和文檔

圖12. 加密流程的排除列表

誘導(dǎo)性動作

在觸發(fā)加密的同時，勒索軟件還會執(zhí)行一系列偽裝動作來實現(xiàn)誘騙受害用戶以及展示勒索信息的目的：

1.?在桌面上創(chuàng)建一個名為“系統(tǒng)修復(fù).lnk”的快捷方式；

2.?將快捷方式指向其釋放的惡意程序RuntimeFileApp.exe；

3.?用戶一旦發(fā)現(xiàn)文件因被加密而無法正常打開，通常會自然而然地點擊桌面上的快捷方式，從而被誤導(dǎo)掃碼付費(fèi)。

圖13. 勒索軟件釋放的誘導(dǎo)快捷方式

加密算法破解

該加密邏輯可以拆解為三個部分：文件結(jié)構(gòu)、加密算法、遍歷方式。

加密后的文件會在原始數(shù)據(jù)前面增加40個字節(jié)的固定內(nèi)容，用來讓勒索軟件后續(xù)判斷該文件是否已被加密，避免重復(fù)加密。

圖14. 為加密后的文件頭部添加已加密標(biāo)簽數(shù)據(jù)?

之后，MiddCrypto會以1MB的大小分段循環(huán)讀取文件，再從每一區(qū)域的索引1號位（即第二個字節(jié)）開始，以15字節(jié)為一個循環(huán)執(zhí)行加密運(yùn)算，具體算法邏輯如下：

圖15. 循環(huán)加密算法邏輯

對比原始文件與被加密后文件的內(nèi)容，其異同也印證了我們經(jīng)代碼分析梳理出的加密邏輯。

圖16. 經(jīng)勒索軟件加密前后的文件內(nèi)容對比

嘗試打開被加密后的文件，會出現(xiàn)打開錯誤的提示。

圖17. 因文件格式損壞而導(dǎo)致無法打開?

詐騙與勒索

MiddCrypto拼接不同的URL并進(jìn)行訪問，分別用來獲取：域名更新、安全軟件列表、收款二維碼、IP信息、在線溝通頁面、惡意載荷下載鏈接等。

圖18. 通過拼接不同URL獲取不同功能?

我們嘗試訪問其在線溝通頁面，會看到一個在線聊天窗口用以和攻擊者進(jìn)行“討價還價”。

圖19. 在線溝通頁面?

此外，勒索軟件還會收集用戶桌面文件及快捷方式列表。

圖20. 勒索軟件收集用戶桌面信息

受害用戶一旦發(fā)現(xiàn)文件損壞而被誤導(dǎo)點擊“系統(tǒng)修復(fù)”快捷方式，誘騙程序便會假意檢測文件損壞問題并最終索要99元的“修復(fù)費(fèi)用”：

圖21. 誘導(dǎo)程序索要“修復(fù)費(fèi)用”?

用戶一旦點擊立即支付后，便會跳轉(zhuǎn)到支付頁面，并且非常“貼心”地支持支付寶和微信兩種支付方式。

圖22. 最終的支付頁面?

在等待用戶支付的過程中，該程序還會非常專業(yè)地在后臺不斷循環(huán)檢查支付狀態(tài)，該狀態(tài)包含支付金額、鏈接等信息。此外，索要的金額也可云端動態(tài)調(diào)整。此前是299元，后降價調(diào)整為99元。

圖23. 循環(huán)檢查支付狀態(tài)?

若檢測到受害用戶已完成支付，誘導(dǎo)程序則會提示支付成功并引導(dǎo)用戶重啟電腦。

圖24. 提示支付成功并引導(dǎo)系統(tǒng)重啟?

防護(hù)與解密

目前，360已對此類釣魚傳播頁面進(jìn)行有效攔截。

圖25. 360攔截釣魚頁面?

同時，360反勒索服務(wù)也已第一時間針對該勒索開發(fā)出了專用解密工具，全力協(xié)助受害用戶恢復(fù)被加密的文件，最大限度挽回用戶損失。

圖26. 360第一時間提供MiddCrypto解密工具

安全建議

針對此類通過破解軟件傳播的勒索軟件，我們建議廣大用戶采取以下防護(hù)措施：

l拒絕來源不明的“注冊機(jī)”
破解補(bǔ)丁、激活工具是勒索軟件最常寄生的溫床，對于安全軟件報毒的此類工具，切勿輕易添加信任或按此類軟件誘導(dǎo)退出安全軟件運(yùn)行。請支持正版軟件，且從官方渠道下載應(yīng)用。

l警惕“低價修復(fù)”陷阱
任何聲稱“系統(tǒng)修復(fù)”并要求支付小額費(fèi)用的彈窗提示，都有可能是病毒的偽裝。請務(wù)必核實軟件來源。

l部署專業(yè)安全防護(hù)軟件
確保電腦中安裝有360安全衛(wèi)士等具備啟發(fā)式掃描和勒索防護(hù)能力的防護(hù)產(chǎn)品，并保持實時防護(hù)開啟。

l養(yǎng)成重要數(shù)據(jù)備份習(xí)慣
遵循“3-2-1”備份方案，即：3份備份；2種介質(zhì)；1份異地。數(shù)據(jù)備份是對抗任何勒索軟件的最終底牌。

l中招后第一時間斷網(wǎng)
發(fā)現(xiàn)文件異常或彈出勒索窗口，應(yīng)立即斷開網(wǎng)絡(luò)，防止病毒接收遠(yuǎn)程指令繼續(xù)擴(kuò)大破壞范圍，并使用360解密大師進(jìn)行嘗試解密，對于此類問題也可去360論壇反饋。

360反勒索服務(wù)率先解密MiddCrypto勒索軟件

熱點排行

關(guān)注我們