受害者谈FreeFix勒索病毒对易语言开发者猛攻【病毒已破】

1157374899 · 发表于 2025-3-31 20:02:17

本帖最后由 1157374899 于 2025-3-31 20:08 编辑

本帖较长先看中招效果下面且听我长文详细分析

首先先对Daen大恩表示抱歉
原贴：大恩HTTP进度下载模块-支持超大文件、断点续传_精易论坛 535楼
感谢大恩的事后正能量宣传：FreeFix勒索针对易语言开发者发起供应链攻击_精易论坛

由于我的电脑突然有一天被FreeFix勒索病毒紧急勒索文件我的所有文件都被加密我以为装了啥软件于是我重装了系统然后发现我朋友也被勒索了

他刚下我软件的时候被Windows自带的defender和火绒检测到FreeStart拦截了但是我当时自信的说是易语言的误报没事信任了就行于是他信任了软件注册表引信被种下，十天后突然电脑异常卡顿此时火绒再次拦截异常请求这时拦截掉了但是后台加密DLL是系统服务不可被拦截提示拦截成功但是还是没挡住他在后台疯狂加密最后杀毒软件也没拦住还是没挡住他疯狂加密文件最后也没办法就中招了

关键就在于我朋友的电脑上装过我编译写出来的软件于是乎我就只能怀疑是我软件模块被带后门了后面测试误会了是大恩的模块出了问题后面好家伙一看我电脑上从我2017年写到现在的所有模块所有模块全被感染了图片资源全部感染了一个FreeFix_EXE
只要你用了被感染模块编译的软件这软件直接就变生化母体别人一用一传十十传百百传千
我作为受害者,我了解所有过程于是向360提交了勒索报告 360发现了我的线索包含开发线索比较重视于是和我联系共同排查攻破了这款病毒

中招效果所有文件被加密+暗自感染.ec模块+窃取你电脑所有源码上传到他的存储桶篡改源码偷你源码技术

如果有人中招百度下载360解密助手即可免费解密！！！

目前已被360高度重视并且置顶是一款非常恶意的病毒由于他带的note携带中文并且还是对e模块进行感染

大概率就是国人针对我们开发的恶意病毒：

360官方分析报告：游戏辅助暗藏定时勒索，360安全大脑精准“拆弹”_360社区，FreeFix勒索针对易语言开发者发起供应链攻击_360社区

如果你中过招那么他不会马上加密他先会在注册表生成一个触发引信在注册表：计算机\HKEY_LOCAL_MACHINE\SYSTEM\FreeFix→Trigger值记录十天后的时间
每次开机自启FreeFix.dll系统服务十天后加密勒索文件你这时候就会以为只是简单的中毒但是其实你电脑所有模块已经被感染了
重装系统继续用非C盘的模块编译软件运行出来直接继续被感染！！
经过我在虚拟机测试如果擅自删除这个注册表值电脑就会立马被勒索

希望大家引起重视对异常体积模块先查看模块资源对异常的非自己代码引起的管理员权限请求务必高度重视

最后为了预防更多开发者朋友中招跟大家说一下被感染模块特征：

1.被感染模块体积大于7MB，小于7MB的模块安全。这是最直观的判断标准
2.被感染模块会带一个Free_EXE资源和Free_dll命令
3.如果是代码非常复杂的源码编译出来的正常模块被感染了此时引用这个模块易语言会莫名报编码错误：某某命令的参数5不能为空！能调试运行但是就是编译不了，但如果代码没那么复杂的模块被感染那么编译就一切正常然后只要编译成功的软件就是母体了你要是发给别人别人不会排查那么你就是生化母体了
4.任意一款主流的杀毒软件都可以在刚运行的时候检测出FreeFix 只要你此时在刚运行的时候拦截掉就不会被种下注册表引信，但是一旦信任了，此时种下引信，十天后即使杀毒软件检测拦截了也无法阻挡加密攻势勒索文件

5.最重要的一点：装杀毒软件！！！！！！！无论装啥都行