FreeFix概况

近期，360安全大脑监测到一款勒索软件新变种传播异常活跃。对其进行溯源发现，该勒索软件主要通过游戏辅助作弊工具或所谓破解版进行传播。受害设备感染该勒索软件后，重要数据文件内容会被加密，而文件的扩展名会被改为".FreeFix"。经分析，该勒索软件采用RSA算法结合RC4算法的加密策略，兼顾了加密的安全性与速度。

与常见家族不同的是这款名为FreeFix的勒索软件在潜伏方面进行了精心的设计。通常情况下勒索软件均会采用传统的“瞬发式引爆”，即软件执行后以便立刻开始执行加密操作。而FreeFix则采用了“延迟触发”的攻击模式：在初始感染受害设备后便保持潜伏状态，待时机成熟后才开始加密用户文件。这一特性也使得用户难以追溯感染源头，进而使其传播链条更难被发现与阻断。此外，FreeFix在解密方面也存在“陷阱”——用户一旦输入错误密钥尝试解密，被加密文件很可能会被彻底破坏造成数据的永久损失。所以针对该情况我们也要提醒广大受害者——发现感染了FreeFix后请不要轻易尝试自行解密，应寻求专业人士进行操作。

值得注意的是，通过360安全大脑对该勒索软件加密算法的深入分析，我们发现其存在技术缺陷。针对这一缺陷进行技术攻关后，360反勒索服务第一时间完成了对该勒索软件的解密工作。如果有用户不幸遭到FreeFix的攻击，可以联系360反勒索服务尝试进行免费解密。

传播与攻击

经溯源分析发现，FreeFix会利用多款热门游戏辅助进行传播，传播渠道关键词如下：

图1. FreeFix传播渠道关键词

根据360的大数据进行统计，该勒索软件在全国多个地区均有传播，其大体分布情况如下：

图2. FreeFix国内各省传播分布 

以下则是我们绘制的FreeFix攻击流程简图：

图3. FreeFix攻击流程简图

样本分析

下面，结合我们捕获到的勒索软件样本进行技术层面的拆解分析。

初期部署

勒索软件样本被执行后，会释放名为FreeFix.dll的动态链接库文件到文档目录中，并加载。首次加载时会调用其导出函数InsertSvc来创建一个显示名为FreeFix的系统服务。该服务指向的功能文件就是这个FreeFix.dll，以此完成长期驻留：

图4. 创建系统服务实现长期驻留

设置“触发引信”

FreeFix服务安装后第一次执行，会写入注册表Trigger值并设置为10天后触发勒索加密功能：

图5. 设置延时启动的功能代码

设置完成后，对应的注册表内容如下：

图6. 被设置后的注册表内容

执行加密

完成了上述的“引信”部署后，程序代码会不断检测当前的系统时间。一旦满足注册表中Trigger所设置的触发时间便会启动核心的加密功能。加密工作启动后，勒索软件首先会生成一组16位随机的密钥。

图7. 勒索软件生成加密密钥

与此同时，索软件还会获取当前系统时间进行拼接，再用RSA2048的内置公钥进行加密后保存到C:\key.data文件中。

图8. 利用内置公钥生成密钥文件

其内置的RSA公钥如下（密钥长度为2048位）

-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyM425HWlj6x232/SEJU9

0pRquaM7bxMXuAYCIBKqNsUALUDUo+uJKq6sTHpWvrZS7rt93ZXlq0xep/qg/PsX

udsDZGsfu8SedF3Qsaqt8VioXhwLNnoO7U/RKWhowVniYJe6r6MhDe1xmQs4IdBH

gK67IyNtnKqOVIiiFCuIxxJlWdxinqrUZjQpUK6e6wCqk9+KXTQE0hRr7MgWxf4I

X9ExXLP5gASKUVXeWIPYC1KldgfcB6A4RvxCgIsk1fVRW1SUzh3VrMrNMvJKRFLt

uCsiT0kdhkG/gPRBc2EvsximCsm6KEqM6LmDQz0Ciy4gIRB1aKsTANrWzYVO9LkP

rQIDAQAB

-----END PUBLIC KEY-----

完成key文件的保存后，FreeFix开始遍历系统中的所有文件，这其间会排除一些特定格式不进行加密操作：

图9. 遍历文件

被FreeFix排除（不被加密）的格式如下：

.bat .bin .com .cfg .client .dat .dll .exe .gif .icon .ico .ini .info .json .jar .class .flv .krc .lnk .lib .log .lrc .pak .tmp .xml .ocx .obj .swf .sf .sh .sys .rc .rll .rom .rsa .rtf .rs .inf .FreeFix

而在加密文件的过程中，则使用了RC4算法来实现性能层面的高效化。

图10. 使用RC4算法加密文件

在完成加密操作后，勒索软件最终会将被加密的文件修改扩展名改为.FreeFix。

图11. 修改扩展名为.FreeFix

此外，被加密完成的文件内容尾部还会被额外附加一段文件路径及文件大小信息。

图12. 被加密文件内容尾部被附加信息

勒索信息

完成全部加密工作后，勒索软件会创建名为note.txt的勒索信息文件。

图13. 创建勒索信息文件

与此同时，FreeFix还会弹出要求输入Password解密的程序界面。由于解密程序未对密钥是否能正确解密文件进行校验，受害用户输入任意内容都会进入到解密流程中。但随意输入的解密密钥则会导致“解密”出来的文件内容全部是混乱且错误的。

所以在没有正确解密密钥的情况下，建议不要随意尝试解密。这可能会让文件数据错乱而导致即便此后拿到了正确的机密密钥也难以恢复被加密的文件。

图14. 弹出勒索信息和解密工具

解密方案

经分析，360安全大脑发现该勒索软件的加密算法逻辑存在设计缺陷。我们利用该缺陷，可以在较短时间内完成对勒索软件的破解，无需支付赎金即可恢复被加密的文件。如果有用户不幸遭到FreeFix勒索软件攻击，建议联系360反勒索服务进行免费解密。

下面则是360反勒索服务成功解密的用户提供的被加密文件样例：

图15. 成功解密案例

安全建议

针对FreeFix勒索软件的传播与攻击，我们建议广大用户：

1.     警惕来源不明的软件：尤其是游戏外挂、破解工具等灰色应用，这些是勒索软件的主要传播载体。请始终从官方渠道下载应用程序。

2.     定期备份重要数据：存储在2种不同的介质上，并保留1份以上的离线备份。确保备份数据不会同时被勒索软件加密。

3.     安装可靠的安全软件：使用具有实时勒索防护功能的安全解决方案，可以帮助检测和阻止勒索软件的安装和执行。