不给钱就社死,勒索软件又有新套路
- 2026-07-03 20:06:39
让人社死的WannaHammer
近日,360反病毒团队接到多起用户反馈,电脑文件被一款名叫WannaHammer 3.0的勒索软件攻击。经分析该样本在界面与交互上刻意模仿知名勒索软件风格,感染后对用户文件实施加密,并通过倒计时、勒索说明及循环播放的低俗音频,施加恐吓与羞辱制造紧张氛围,以“让你社死”的方式威胁受害者尽快联系攻击者QQ支付赎金换取“解锁密码”。
综合样本行为与已知情报,该家族传播途径可能与被盗聊天账号有关——攻击者利用被盗取的QQ等即时通信账号,向联系人投递恶意程序。以熟人关系降低防范心理,提高点击率与执行率。此类传播方式隐蔽性强、覆盖面广,且往往与账号弱口令、钓鱼链接或二次诈骗相伴发生。
技术分析表明,WannaHammer 3.0并未采用成熟的现代加密方案,其文件保护机制在算法选型、实现方式与密钥管理等方面存在明显缺陷,不具备对抗专业逆向与离线恢复的能力。基于上述缺陷,360反病毒团队完成了加密机制还原,并自主开发出解密工具,可在不依赖样本程序、无需向攻击者支付或输入界面密码的情况下,对受影响文件进行批量恢复。
图1. WannaHammer 3.0攻击及解密示意图
样本分析
受害者在感染WannaHammer 3.0勒索软件后,系统会弹出如下界面。
图2. WannaHammer 3.0勒索界面
失败的持久化
勒索软件在运行后,会首先将自身写入注册表启动项。但根据分析人员的实际测试发现,由于加密流程最终会将加密程序自身也进行加密,导致这个注册表中的自启动无法实质性生效——真可谓“狠起来连自己都不放过”。
图3. 通过注册表添加自启动项
文件遍历
进入核心的加密功能代码后,勒索软件会从各盘符根目录开始进行递归遍历操作,查找所有“*.*”文件,但会跳过已含 #WannaHammer# 的文件。随后,勒索软件会判断文件大小,当文件小于50MB(52428800Byte)时才会进行加密。
锁定了需要加密的文件后,勒索软件便会读入待加密的文件,在内存中加密数据,最终将加密后的数据重新写回到文件中。完成加密操作后,会向文件名后追加“.#WannaHammer#”的扩展名。
加密文件
经分析,该勒索软件对文件的加密流程示意图如下。
图4. 勒索软件加密流程示意图
勒索软件对设备中的文件采用DES-ECB加密算法。首先初始化一个全0的8字节缓冲区,再用密码逐字节进行亦或操作并循环写入密钥。
图5. 初始化缓存并写入密钥
此后,勒索软件会截取8字节(对应64位二进制数据)中的56位进行使用。与DES官方固定的选位顺序表不同,该软件采用0-based选位逻辑,将选取的密钥进行了位移。此外,单字节内的二进制位读取操作也与官方的读取顺序完全相反,改为了由低位向高位的读取逻辑。
图6. 自定义的DES-ECB算法逻辑
也正是基于以上改动,只要在解密时也对标准的DES解密算法进行相应改动,就可以对加密后的数据进行有效解密。
通过上述自定义的加密方式,勒索软件会记录4字节的原始数据长度值(小端模式),随后用0数据填充原始数据至8字节对齐。最后,将上述全部数据以8字节大小分块进行DES加密,得到最终的加密后数据,并写回到原文件对原始数据进行覆盖。
释放勒索信息
加密文件后会弹出如下的勒索信息窗口:
图7. 勒索信息弹窗
留在系统中的勒索信内容如下:
图8. 勒索信内容
同时在如下目录创建倒计时的时、分、秒标记及勒索信文件:
图9. 勒索记录数据及勒索信文件
接着,勒索软件还会禁用系统的任务管理器。
图10. 禁用任务管理器
勒索软件还会修改桌面壁纸,提醒用户当前设备已经中招。
图11. 修改壁纸勒索受害用户
最终,WannaHammer最“杀人诛心”的操作来了。其会播放一段1分钟左右且内容不堪入耳的“18禁”淫秽音频。并且该音频是勒索软件代码中的一个名为“waveOut”的线程在系统内存中直接播放,不会在受害设备中落地任何音频文件,导致用户根本找不到这个音频,更加无法进行停播或删除处理。
图12. 勒索软件在内存中直接播放音频
分析人员手动提取了这份音频数据,其相关信息如下:
图13. 提取后的音频文件信息
撕票!
这一点该勒索软件也算是“说到做到”了,一旦勒索弹窗界面中的倒计时结束,便会开始删除文件。此时,勒索软件会调用此前递归查找待加密文件的函数,再次遍历系统中的文件,并对所有被加密的文件进行删除。
图14. 删除文件
删除全部文件后,勒索软件还会弹出提示窗,告知所有文件已删除。
图15. 弹出删除文件提示窗
解密文件助力数据恢复
针对其加密逻辑的缺陷,360反病毒团队编写了解密器,可成功解密被其加密的文件,已帮多个用户成功解密被其加密的文件。有解密需要的用户,可联系客服获取免费解密服务。
图16. 360反病毒团队自主开发的解密工具
安全建议
针对此类新型勒索软件,360反病毒团队给出如下安全建议:
一、警惕社交网络“熟人投递”与社工钓鱼
l 二次渠道核验
凡在QQ、微信、钉钉等即时通讯工具上,接收到好友发送的“照片压缩包”“刷赞工具”“游戏外挂”或“未知运行程序”,务必通过电话或其他渠道向本人核实,切勿盲目解压运行。
l 显示已知文件扩展名
防范攻击者利用 .exe 伪装成 .jpg 或 .mp4 的双后缀欺骗手段。
l 增强安全意识
若账号出现异常登录、异地上线或向好友批量发文件等问题,应立即修改密码、开启二次验证、下线可疑会话,并通知联系人勿打开近期收到的文件。
二、寻求专业恢复
勿轻易支付赎金,这通常会助长攻击者气焰且无法保证100%恢复。可尝试使用像360反病毒团队这样的权威安全机构发布的专用解密工具进行安全、无损的批量恢复。
IOCs
SHA256
7860030d7cfe9d339fe1ea1426e53ccb57db42acc3cef1c4a6149f5e0856317e
3596805471
3344646233
368636048
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器
京公网安备 11000002000006号