近(jin)(jin)年來(lai)，勒索軟(ruan)件攻(gong)擊日(ri)益猖獗，給廣大網(wang)民的數據安全(quan)帶來(lai)了嚴重威脅。作(zuo)為網(wang)絡安全(quan)領域的領軍企(qi)業，360安全(quan)團隊憑借深厚的技術積累，在(zai)近(jin)(jin)期(qi)成功破解了FreeFix和(he)Kann兩款危害嚴重的勒索軟(ruan)件。

而就(jiu)在我們加(jia)緊技術攻關的同(tong)時(shi)，受到這(zhe)兩(liang)款勒索軟件(jian)攻擊的用(yong)(yong)戶(hu)(hu)求助也不斷涌(yong)來，我們秉持(chi)著為人民服務的原則積極協助，成功幫(bang)助用(yong)(yong)戶(hu)(hu)恢復被加(jia)密的數(shu)據，重(zhong)新(xin)奪回了(le)原本就(jiu)屬于用(yong)(yong)戶(hu)(hu)自己的“數(shu)據主權”，最終(zhong)贏得了(le)用(yong)(yong)戶(hu)(hu)的高度贊(zan)譽。

勒索軟件技術解析(xi)與(yu)危(wei)害

FreeFix勒索軟(ruan)件：隱蔽的供應鏈(lian)攻(gong)擊

FreeFix是一款采用(yong)“供(gong)應鏈(lian)攻(gong)擊(ji)”策略(lve)進行投毒的(de)勒索軟件(jian)，其(qi)攻(gong)擊(ji)方(fang)式(shi)在同(tong)類惡意(yi)軟件(jian)中顯(xian)得尤為(wei)隱蔽且危害深(shen)遠。與(yu)常規勒索軟件(jian)不同(tong)，FreeFix將攻(gong)擊(ji)鏈(lian)條延(yan)伸到了軟件(jian)開發(fa)(fa)環節，通過感染易語言(EPL)生態系統中的(de)".ec"模(mo)塊文(wen)件(jian)構建(jian)攻(gong)擊(ji)鏈(lian)條。這意(yi)味著開發(fa)(fa)者(zhe)可能在完全不知情(qing)的(de)情(qing)況下，通過使用(yong)被感染的(de)開發(fa)(fa)環境(jing)，成為(wei)惡意(yi)代碼的(de)傳播(bo)者(zhe)。

我們的(de)(de)(de)技術分(fen)析顯示，在被感染(ran)的(de)(de)(de)環境中使用(yong)(yong)(yong)易語言(yan)編寫代碼(ma)時，只要調(diao)用(yong)(yong)(yong)了(le)被植入(ru)惡(e)意代碼(ma)的(de)(de)(de)EC模塊(kuai)，最(zui)終編譯(yi)出來的(de)(de)(de)程(cheng)序就會被附加上FreeFix勒索軟件功能代碼(ma)。這一(yi)特點使得FreeFix能夠通(tong)過看似合法的(de)(de)(de)軟件更新(xin)或常用(yong)(yong)(yong)工具進行傳播，大大增加了(le)其(qi)隱蔽性和(he)危害范圍。受害者往(wang)往(wang)在毫無防備的(de)(de)(de)情況下，發現(xian)自(zi)己的(de)(de)(de)文(wen)件被加密，且由于攻擊來源的(de)(de)(de)隱蔽性，很難追溯感染(ran)路徑。

Kann勒(le)索軟件：復(fu)雜的(de)混(hun)合(he)加密策略

Kann勒(le)索(suo)軟(ruan)件是(shi)近(jin)期再度活躍的(de)一(yi)款高危(wei)害(hai)性勒(le)索(suo)軟(ruan)件，其(qi)變種名為(wei)".kann"與(yu)".xmrdata"。該勒(le)索(suo)軟(ruan)件采用了(le)極為(wei)復雜的(de)混合加密策略，給數(shu)據恢復帶來了(le)極大挑戰：

l? 三重加密機制
首先(xian)使用RC4與AES算法對受害者文件進(jin)行加密，然后(hou)通過RSA算法對上述密鑰再次加密。

l? 文件標記
加密(mi)(mi)完成(cheng)后，所有(you)被加密(mi)(mi)文件會(hui)被統(tong)一添加".kann"擴展名。

l? 多語言勒索信
除(chu)了(le)常規(gui)的英語和中文外，還包含俄語版本的勒索信息，顯(xian)示(shi)其可(ke)能針對國際(ji)化目標(biao)。

勒索信中會留(liu)下攻(gong)擊者(zhe)的(de)郵箱及受害(hai)用戶的(de)ID信息，要求受害(hai)者(zhe)通過(guo)這(zhe)(zhe)些信息與(yu)攻(gong)擊者(zhe)聯(lian)系(xi)并談判贖金金額。這(zhe)(zhe)種精心設計(ji)的(de)加密和勒索流(liu)程，使得(de)普通用戶幾乎無法自(zi)行恢復被加密文件。

用技術(shu)重奪“數據主權”

案例一：免費是準則(ze)——感(gan)謝我留下(xia)，紅包你留下(xia)

在第一個案例中(zhong)(zhong)，受害用戶遭到了FreeFix勒索軟(ruan)(ruan)件(jian)的攻擊。起因(yin)是(shi)用戶在玩游戲的過(guo)程中(zhong)(zhong)，安裝(zhuang)了某些外掛及破解程序，而在安裝(zhuang)運(yun)行這類軟(ruan)(ruan)件(jian)的過(guo)程中(zhong)(zhong)被(bei)(bei)要求關閉360安全(quan)軟(ruan)(ruan)件(jian)。不料這正是(shi)被(bei)(bei)FreeFix感染(ran)的“帶毒”軟(ruan)(ruan)件(jian)，最(zui)終(zhong)導致設備中(zhong)(zhong)大量(liang)重要文件(jian)被(bei)(bei)加(jia)密，影響了正常的生(sheng)活(huo)和工(gong)作。

該用(yong)戶通(tong)過(guo)勒索反饋群(qun)聯系我(wo)(wo)們(men)，我(wo)(wo)們(men)的(de)技(ji)術(shu)人員快速進行對接，僅用(yong)十幾分鐘(zhong)就恢復了被加密文件。激(ji)動的(de)用(yong)戶當即表示要給我(wo)(wo)們(men)發紅包以示感謝(xie)，但我(wo)(wo)們(men)秉持著“永久免(mian)費”的(de)工(gong)作準則(ze)，婉言謝(xie)絕了用(yong)戶的(de)美(mei)意。

案例二：一份來自云南的特別謝(xie)意

第二個案例則是一(yi)(yi)家云(yun)南(nan)的(de)公(gong)司(si)，該公(gong)司(si)設備遭到(dao)Kann勒索軟(ruan)(ruan)件攻擊，導致大(da)量(liang)客戶(hu)資料、合同(tong)文檔和其他一(yi)(yi)些(xie)重(zhong)要(yao)數據(ju)都(dou)被加密(mi)并添加了".kann"后綴。數據(ju)的(de)丟失(shi)不(bu)僅將給公(gong)司(si)帶(dai)來(lai)(lai)重(zhong)大(da)經濟損失(shi)，也(ye)將影響公(gong)司(si)后續(xu)很長一(yi)(yi)段時間的(de)正常運營。同(tong)時，還有可能會對公(gong)司(si)聲譽帶(dai)來(lai)(lai)非(fei)常不(bu)利的(de)影響。

該(gai)公司的(de)(de)(de)相關技(ji)術人員(yuan)在(zai)了(le)(le)解到我(wo)們(men)(men)有該(gai)勒索軟件的(de)(de)(de)技(ji)術解密方案(an)后，也懷(huai)著試試看的(de)(de)(de)心(xin)態聯系到了(le)(le)我(wo)們(men)(men)。而我(wo)們(men)(men)的(de)(de)(de)技(ji)術人員(yuan)不(bu)(bu)負所托，僅(jin)用(yong)了(le)(le)不(bu)(bu)到2小(xiao)時的(de)(de)(de)時間，便恢復了(le)(le)其(qi)所有重要(yao)數(shu)據(ju)。感(gan)激之余(yu)，用(yong)戶堅持(chi)要(yao)給(gei)我(wo)們(men)(men)寄(ji)送云南特產表(biao)示感(gan)謝。面對(dui)這份特別的(de)(de)(de)心(xin)意，我(wo)們(men)(men)深(shen)感(gan)技(ji)術工作的(de)(de)(de)價值不(bu)(bu)僅(jin)在(zai)于解決技(ji)術問(wen)題，更在(zai)于守(shou)護人們(men)(men)的(de)(de)(de)數(shu)字生(sheng)活(huo)。

安全建議與(yu)展望

基于(yu)對這兩(liang)款勒(le)索軟(ruan)件的分析和救助經驗，我們向廣大用(yong)戶提出(chu)以下安全建議：

l? 開發環(huan)境安全(quan)
程序開(kai)發(fa)者請(qing)務必確(que)保開(kai)發(fa)環境的(de)安全和組(zu)件來源的(de)可信。一旦遭遇惡(e)意軟(ruan)件的(de)供應鏈攻擊，導致開(kai)發(fa)環境遭到污染(ran)，您所開(kai)發(fa)的(de)軟(ruan)件傳播的(de)整個鏈條或將無人幸免。

l? 數據(ju)備份
重要數據堅(jian)持"3-2-1"備份(fen)原則——至少3份(fen)備份(fen)，2種(zhong)不同介質，1份(fen)離線存儲

l? 安(an)裝安(an)全軟件
安(an)裝可靠的(de)終端安(an)全(quan)(quan)軟件(jian)，并(bing)確保其保持有效的(de)安(an)全(quan)(quan)運行狀態。

l? 警惕可疑文件(jian)
不(bu)打開來源(yuan)不(bu)明的郵件(jian)附件(jian)，不(bu)下(xia)載非(fei)官(guan)方渠道的軟(ruan)件(jian)。尤(you)其是不(bu)要隨意下(xia)載私服、外(wai)掛及破解類軟(ruan)件(jian)，更(geng)不(bu)要輕信其關(guan)閉(bi)安全(quan)軟(ruan)件(jian)的說辭。

未來，360安(an)全(quan)團隊將(jiang)繼(ji)續跟蹤勒索軟件的(de)最新發展趨勢(shi)，不(bu)斷提(ti)升(sheng)我們的(de)技術(shu)防護(hu)和解密能力，為(wei)構(gou)建(jian)更安(an)全(quan)的(de)網絡環境(jing)貢獻力量。同(tong)時(shi)，我們承諾，對勒索軟件受害者的(de)救助服務將(jiang)始終免費(fei)，用實際行動踐行"守護(hu)全(quan)網用戶(hu)安(an)全(quan)"的(de)企業使命(ming)。

如(ru)果您或您認識的(de)人正遭受勒(le)索軟(ruan)件(jian)攻擊(ji)，請立即通(tong)過我們的(de)官方(fang)渠道(dao)尋求幫助。360安全(quan)團隊(dui)，始終與您同在(zai)，為您的(de)數字生活保駕護航！