国内首个！360推出Wmansvcs勒索软件专用解密服务

本帖最后由飞机飞行于 2026-4-16 21:10 编辑

近日，360数字安全集团成功捕获并深度解析了国内最为活跃的勒索软件之一Wmansvcs，并率先推出针对该家族的有效解密服务。目前，360已成功为多名受害者恢复被加密的文件，实战验证了解密方案的可靠性。

自2025年6月首次现身以来，Wmansvcs勒索软件便迅速跻身国内最为活跃的勒索软件之一，其感染量更是长期稳居前二。该团伙攻击目标极为明确，高度聚焦国内用户，主要通过远程桌面协议（RDP）弱口令手段进行暴力破解，对特定IP进行长期定向投毒与横向渗透。目前该家族主要衍生出.peng与.wman两个后缀分支。

深度技术解析：

Rust语言编写，支持多环境加密

360捕获的该家族勒索样本采用rust语言开发，支持对本地计算机、网络计算机、域计算机的环境进行加密。

加密设备类型选择

此外，该勒索软件还支持对指定的盘符进行加密。

选择指定的加密盘符

勒索程序首先生成一个13个字符的设备ID，该ID在后续的流程中将作为勒索信及加密文件名的唯一标识，被反复调用。而除RSA加密后的密钥数据外，勒索软件还会在加密文件的头部或尾部，附加一段9个字符的标识，以便后续解密识别。

勒索软件在加密数据中附加识别字符

随后生成加密文件用的随机密钥，其中包含了32字节的ChaCha20密钥和8字节的 nonce值。

生成加密密钥

加密策略剖析：追求极速破坏
如前所述，勒索软件对文件的加密采用了ChaCha20算法。当文件大小小于等于512KB（0x80000）时，进行全文件加密，大于512KB则只加密文件的前512KB内容。而.peng这一分支对超过一定大小的文件，采用分块加密，该变种也仅加密文件头部的64KB（0x10000）。

.peng分支勒索的加密逻辑

该分支这种分块加密逻辑，通常被称为“稀疏加密（Sparse Encryption）”或“关键部位加密”。360分析人员推测，勒索软件作者使用该加密策略主要出于两个考量。

极高的效率

以测试的被加密文件为例，文件大小约2.67MB，而实际被加密的3个区块总共只有约192KB。实际加密比例仅为192/2671≈7.2%。这意味着加密和解密速度极快，尤其对于服务器上的数据库类大文件，几乎是瞬间完成。不需要遍历整个文件，只需要通过fseek指针跳转三次，这极大提升了加密速度，对硬盘IO压力也极小。

针对特定格式的破坏

· 文件头：确保文件“打不开”。

· 中间块：确保文件“看不全”。

· 文件尾：确保文件“无法索引/无法跳转”。

无论文件是1MB还是1GB，它都能确保加密的是“头、中、尾”三个关键部位。

文件及数据加密完成后，勒索软件会释放文件名为“DECRYPTION_INFORMATION.html”的勒索信。

释放的勒索信

此外，勒索软件还会修改系统的桌面壁纸。

被修改的系统桌面壁纸

Wmansvcs家族通常利用RDP弱口令进行扩散，成功入侵设备后，使用的常见工具列表如下：

Wmansvcs勒索软件常用工具软件

数据解密：算法逻辑缺陷

带来的“幸运窗口”

由于该勒索加密算法逻辑存在缺陷，360安全团队开发了专用的解密工具并实测成功。

实测解密成功

在接到的求助案例中，被感染的设备均是内部网络中未部署有效终端安全防护产品的设备。这也成了当下网络安全环境中的一个客观现实——即很多企业网络环境中有大量缺乏基础防护的“裸奔”设备，致使攻击者无需绕过安全软件而仅凭暴力破解即可轻松获利。

360提醒：预防胜于治疗，

切勿心存侥幸

通过对Wmansvcs加密逻辑的逆向分析，360利用其逻辑缺陷实现了解密。但必须强调，这在勒索软件对抗中属于极小概率的“幸运事件”。绝大多数现代勒索软件（如Phobos、LockBit等）均采用了高强度且成熟的非对称加密算法，若无作者私钥，在技术层面几乎不可破解。

针对勒索软件，唯一真理仍是“预防胜于治疗”。 360强烈建议广大用户：

01

  强化入口防护

务必关闭不必要的远程桌面服务（RDP），或将其端口修改为非标准端口，并强制执行强密码策略及多因素认证（MFA）。

02

  部署专业安全软件

正如本次案例所警示，缺乏防护是病毒入侵的根本原因。部署靠谱的终端安全产品，可有效拦截勒索威胁并监控异常行为。

03

  构建备份体系

严格执行“3-2-1”备份原则（至少3份备份，存储在2种不同介质上，其中1份必须离线/异地存储）。这是在遭遇任何无法解密的勒索攻击时，保护数据资产的最后一道，也是最可靠的防线。

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体，实现毫秒级自动化威胁识别与处置，针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，助力广大政企机构构建AI时代下面向勒索病毒的全生命周期防护能力。

自2016年创建以来，360反勒索服务已累计处理数万起企业与个人用户的勒索软件应急事件，免费提供攻击溯源、影响评估、安全加固、报告分析、态势预警、文件解密等全链路闭环服务。事前未安装360安全产品的受害用户，仍可通过360官方渠道获取免费的专业技术支持。