精易论坛

标题: 受害者谈FreeFix勒索病毒对易语言开发者猛攻【病毒已破】 [打印本页]
作者: 1157374899    时间: 2025-3-31 20:02
标题: 受害者谈FreeFix勒索病毒对易语言开发者猛攻【病毒已破】
本帖最后由 1157374899 于 2025-3-31 20:08 编辑

本帖较长 先看中招效果 下面且听我长文详细分析



首先先对Daen大恩表示抱歉
原贴:大恩HTTP进度下载模块-支持超大文件、断点续传_精易论坛  535楼
感谢大恩的事后正能量宣传:FreeFix勒索针对易语言开发者发起供应链攻击_精易论坛

由于我的电脑突然有一天被FreeFix勒索病毒紧急勒索文件 我的所有文件都被加密 我以为装了啥软件 于是我重装了系统 然后发现我朋友也被勒索了

他刚下我软件的时候被Windows自带的defender和火绒检测到FreeStart拦截了 但是我当时自信的说是易语言的误报 没事 信任了就行于是他信任了软件 注册表引信被种下,十天后突然电脑异常卡顿 此时火绒再次拦截异常请求 这时拦截掉了 但是 后台加密DLL是系统服务不可被拦截  提示拦截成功 但是还是没挡住他在后台疯狂加密 最后杀毒软件也没拦住 还是没挡住他疯狂加密文件 最后也没办法就中招了

关键就在于我朋友的电脑上装过我编译写出来的软件 于是乎我就只能怀疑是我软件模块被带后门了 后面测试误会了是大恩的模块出了问题后面好家伙 一看我电脑上从我2017年写到现在的所有模块 所有模块全被感染了 图片资源全部感染了一个FreeFix_EXE
只要你用了被感染模块编译的软件 这软件直接就变生化母体 别人一用一传十十传百百传千
我作为受害者,我了解所有过程 于是向360提交了勒索报告 360发现了我的线索包含开发线索 比较重视 于是和我联系 共同排查攻破了这款病毒






中招效果 所有文件被加密+暗自感染.ec模块+窃取你电脑所有源码上传到他的存储桶 篡改源码 偷你源码技术


如果有人中招 百度下载360解密助手即可免费解密!!!

目前已被360高度重视 并且置顶 是一款非常恶意的病毒 由于他带的note携带中文 并且还是对e模块进行感染

大概率就是国人针对我们开发的恶意病毒:

360官方分析报告:游戏辅助暗藏定时勒索,360安全大脑精准“拆弹”_360社区FreeFix勒索针对易语言开发者发起供应链攻击_360社区

如果你中过招 那么他不会马上加密 他先会在注册表生成一个触发引信 在注册表:计算机\HKEY_LOCAL_MACHINE\SYSTEM\FreeFix→Trigger值  记录十天后的时间
每次开机自启FreeFix.dll系统服务  十天后加密勒索文件 你这时候就会以为只是简单的中毒 但是其实你电脑所有模块已经被感染了
重装系统继续用非C盘的模块编译软件 运行出来 直接继续被感染!!
经过我在虚拟机测试 如果擅自删除这个注册表值 电脑就会立马被勒索



希望大家引起重视 对异常体积模块先查看模块资源 对异常的非自己代码引起的管理员权限请求务必高度重视

最后为了预防更多开发者朋友中招 跟大家说一下 被感染模块特征:

1.被感染模块体积大于7MB,小于7MB的模块安全。这是最直观的判断标准
2.被感染模块会带一个Free_EXE资源和Free_dll命令
3.如果是代码非常复杂的源码编译出来的正常模块被感染了  此时引用这个模块 易语言会莫名报编码错误:某某命令的参数5不能为空!能调试运行 但是就是编译不了,但如果代码没那么复杂的模块被感染 那么编译就一切正常 然后只要编译成功的软件就是母体了 你要是发给别人别人不会排查 那么你就是生化母体了
4.任意一款主流的杀毒软件都可以在刚运行的时候检测出FreeFix 只要你此时在刚运行的时候拦截掉就不会被种下注册表引信,但是一旦信任了,此时种下引信,十天后即使杀毒软件检测拦截了 也无法阻挡加密攻势 勒索文件


5.最重要的一点:装杀毒软件!!!!!!!无论装啥都行



















感染.jpg (64.1 KB, 下载次数: 0)

感染.jpg
作者: KD飞飞    时间: 2025-4-1 09:04
这个作者胆子也是真大,抓到肯定吃玫瑰金套餐
作者: 时创智联    时间: 2025-4-1 11:32
我去,这么缺德啊
作者: 1157374899    时间: 2025-4-1 13:16
KD飞飞 发表于 2025-4-1 09:04
这个作者胆子也是真大,抓到肯定吃玫瑰金套餐

太恶心了 我也是看了分析报告才知道他还窃取e ec所有模块 真的逆天 反编译出来一看是易语言代码 包是哪个缺德的国内黑ke写的
作者: 菜就多多练    时间: 2025-4-2 16:59
https://tieba.baidu.com/p/8566098561   病毒不是最近的 已经出来两年了
作者: xizhihan    时间: 2025-4-3 20:37
建议反编译
作者: shaokui123    时间: 2025-4-23 15:32
我的理解:
最核心的是Free_EXE 勒索软件FreeStart.exe程序,其余操作都是为了从源头感染增加传播范围。
全程都是在主动或者被动关闭杀软的情况下进行的。



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4