中文版 Global
首页 > 安全资讯 > 正文

破解成功_国内顶流勒索软件Wmansvcs解密分析

  • 2026-04-16 14:52:39

出道即巅峰

2025年6月首次现身以来,Wmansvcs勒索软件便迅速跻身国内最为活跃的勒索软件之一,其感染量更是长期稳居前二。在传播中,该团伙展现出了高度明确的攻击意图。其高度聚焦国内用户,通过远程桌面协议(RDP)弱口令手段,对特定IP进行长期定向投毒与横向渗透。该家族目前主要演化出".peng"与".wman"两个后缀分支。

 

1. Wmansvcs勒索家族说明 

成功破解

值得注意的是,在我们接到的求助案例中,被感染的设备均是内部网络中未部署有效终端安全防护产品(如360终端安全产品)的设备。这也成了当下网络安全环境中的一个客观现实——即很多企业网络环境中有大量缺乏基础防护的“裸奔”设备,致使攻击者无需绕过安全软件而仅凭暴力破解即可轻松获利。

值得庆幸的是,360反病毒团队经过深入分析发现该勒索软件的加密逻辑存在缺陷。针对这一缺陷,我们的安全团队已开发出了解密方案,不幸遭到该勒索软件加密的用户,可联系我们对被加密的数据进行解密。目前我们已成功为多名中招用户解密文件,这也进一步验证了破解方案的效果。

 

2. 用户反馈 

样本分析说明

我们捕获的该家族勒索样本采用rust语言开发,支持对本地计算机、网络计算机、域计算机的环境进行加密。

 

3. 加密设备类型选择 

此外,该勒索软件还支持对指定的盘符进行加密。

 

4. 选择指定的加密盘符

勒索程序首先生成一个13个字符的设备ID,该ID在后续的流程中将作为勒索信及加密文件名的唯一标识,被反复调用。而除RSA加密后的密钥数据外,勒索软件还会在加密文件的头部或尾部,附加一段9个字符的标识,以便后续解密识别。

 

5. 勒索软件在加密数据中附加识别字符 

随后生成加密文件用的随机密钥,其中包含了32字节的ChaCha20密钥和8字节的 nonce值。

 

6. 生成加密密钥

如前所述,勒索软件对文件的加密采用了ChaCha20算法。当文件大小小于等于512KB(0x80000)时,进行全文件加密,大于512KB则只加密文件的前512KB内容。而".peng"这一分支对超过一定大小的文件,采用分块加密,该变种也仅加密文件头部的64KB(0x10000)。

 

7. ".peng"分支勒索的加密逻辑 

该分支这种分块加密逻辑,通常被称为“稀疏加密(Sparse Encryption)”或“关键部位加密”。我们的分析人员推测,勒索软件作者使用该加密策略主要出于两个考量。

1. 极高的效率
以我们测试的被加密文件为例,文件大小约2.67MB,而实际被加密的3个区块总共只有约192KB。,实际加密比例仅为192/2671≈7.2%。
这意味着加密和解密速度极快,尤其对于服务器上的数据库类大文件,几乎是瞬间完成。不需要遍历整个文件,只需要通过fseek指针跳转三次,这极大提升了加密速度,对硬盘IO压力也极小。

2. 针对特定格式的破坏

(1) 文件头
确保文件“打不开”。

(2) 中间块
确保文件“看不全”。

(3) 文件尾
确保文件“无法索引/无法跳转”。

无论文件是1MB还是1GB,它都能确保加密的是“头、中、尾”三个关键部位。

文件及数据加密完成后,勒索软件会释放文件名为“DECRYPTION_INFORMATION.html”的勒索信。

 

8. 释放的勒索信

此外,勒索软件还会修改系统的桌面壁纸。

 

9. 被修改的系统桌面壁纸

Wmansvcs家族通常利用RDP弱口令进行扩散,成功入侵设备后,使用的常见工具列表如下:

 

10. Wmansvcs勒索软件常用工具软件 

数据解密

由于该勒索加密算法逻辑存在缺陷,我们的安全团队开发了专用的解密工具并实测成功。

 

11. 实测解密成功

安全提醒与建议

通过对Wmansvcs勒索软件加密逻辑的逆向分析,我们发现了其在加密算法策略上的逻辑缺陷并成功解密,帮助众多受害者挽回了部分损失。我们郑重提醒广大用户:能够通过算法缺陷实现解密,在勒索软件攻防对抗中属于极小概率的“幸运事件”

绝大多数现代勒索软件(如经过精心配置的Phobos、LockBit等家族),均采用了高强度且成熟的非对称加密算法(如RSA-2048/4096结合AES-256算法)。在没有拿到作者手中私钥的情况下,技术层面几乎是不可破解的。本次解密成功,本质上还是攻击者在实现层面的疏忽,而非加密算法本身的失效。因此,切勿因存在“解密可能”而产生侥幸心理。针对勒索软件,“预防胜于治疗”是唯一真理。

在此,360反病毒团队提醒:

1. 强化入口防护
务必关闭不必要的远程桌面服务(RDP),或将其端口修改为非标准端口,并强制执行强密码策略及多因素认证(MFA)。

2. 部署专业安全软件
正如本次案例所警示,缺乏防护是病毒入侵的根本原因。部署靠谱的终端安全产品,可有效拦截勒索威胁并监控异常行为。

3. 构建备份体系
严格执行“3-2-1”备份原则(至少3份备份,存储在2种不同介质上,其中1份必须离线/异地存储)。这是在遭遇任何无法解密的勒索攻击时,保护数据资产的最后一道,也是最可靠的防线。

安全防护是一个持续的过程,请保持警惕,让数据安全掌握在自己手中。

360反勒索服务

2016年创建以来,360反勒索服务已累计处理数万起企业与个人用户的勒索软件应急事件,免费提供攻击溯源、影响评估、安全加固、报告分析、态势预警、文件解密等全链路闭环服务。其中,360勒索软件搜索引擎是国内数据更新最及时、勒索家族覆盖最全面的专业检索平台。事前未安装360安全产品的受害用户,可通过360论坛勒索软件版块或搜索引擎页面留下的官方联系方式,获得免费的专业技术支持。

 

12. 360反勒索服务 

IOCs

SHA256

67b6c34e33c0e7f7fe6adbfa8b16b9b28af8080ccac044a1c573db480b4ba389

8dc357c0648b2679c75f7b9e7eb9cd0b6c0fa57e1af9a02b365a8189eddb1036

ef02b13a7c9d5381beec352d5fe8f89ae47c5177e7bba93abf3d0d171cd472b0

f5a169d2773bcf5b2d0183ba4e28e03033dd4c1d43e799445de10babac428261

82f70e3ee3bb6c7dcc6e9e9ccb737e861df2106a201f2cb8e0c2a0f4e46c2b1b

d1b7f130b1132c90394c038bd67335c9fa0e071c11cab57f9fdae891db1c2f06

cba39b101b49b3d864032ac36c145352cbfa64b39296068b7bcc10acb57ea9b4

7e8ae1ca96f9aba20c27cae91d8a3c5a28e3a8a223d4a0e8d4dd21ce7a759a37

5956f2318282be18573fb559ea9485e3ec55ba9c9603c4d35e53e742b95cb9ad

e3cb67122f60c4a4dfa14e504c6d2485b952c105ded477b9ec3a58eaec7d98fe

bc29ecb01bf87dce8b9d2597ae9a4cb66b776d9f8712098a6546f0d81a72abde

90b9a26a2fb312e1bb382c81b73afabc2726d2285199cc1548268fec8bdcdf6d

cf8ff6b8fd647f41b2ace5f6454f5891e286bf4525697c8bb33e13c044fb700d

RSA PUB KEY

-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw7l5sAHbI/ZEzS6eEEtZ

Bk5zWDKsn9mZ460U48sImsADXkYYSsGHm2sYmTotlBi+2sUK0a2NJucwztnxfKU4

ptFCnbVX7YNBSWKPL+E30YMgGS8377by+4BJCzbKhBRMTqjIT0VH8F094Hng/1a2

MqFyFztuThy4LDZDlYS2ynPyy95iDnuvMy9N0wkmWV5ATDKtQrdH2q+t0XtH/CqS

gFw2L6O0u7wbc4rFVId0RExIXGJsp4fHXtHesJom4XV1l+Z3onvVNLyJcPTZUysK

7/yB3SrJzAL0XxfQkysDCgdafbV4oEXGuDmANfrhpQv5cLIwZgZCLbbW7h9wgHDk

9QIDAQAB

-----END PUBLIC KEY-----

360安全卫士

热点排行

用户
反馈 返回
顶部