高仿钓鱼网站推送带毒“破解补丁”，360硬核抵御开年首“诈”

近日，360数字安全集团监测到一款伪装性极强的勒索软件“MiddCrypto”正在暗中传播。作为2026年率先亮相的勒索病毒，该家族常冒充Typora注册机、Photoshop激活工具、Keyshot 2025注册机等常用软件的破解补丁诱导用户下载，套路颇深。

不同于“天价赎金”的老套路，其采用一种极为简单的加密算法，并弹出伪装成“系统修复”的窗口，以区区99元人民币的“白菜价”实施勒索，手法可谓“接地气”，已使部分安全意识薄弱的用户中招。

目前，360通过深度逆向分析已完全掌握其解密逻辑，360终端安全智能体蜂群已支持对被该勒索软件加密文件的全自动解密，请已中招用户切勿支付赎金，避免财产损失及助长黑产。建议及时部署，守护数据安全。

钓鱼网站遍布陷阱

白菜价勒索藏深坑

在传播上，MiddCrypto主要搭乘“高伪装钓鱼网站”顺风车，并通过SEO手段“刷高”搜索排名，以实现传播效率和范围的最大化。其常伪装成所谓“内置破解”的软件安装包或激活工具，部分页面甚至把“戏做全套”，高度还原出软件激活界面，让用户彻底放下戒心、“踩坑”中招。基于360云端安全大数据分析，该勒索软件的完整传播链路已被彻底摸清。

所谓的注册机、激活工具实为“暗黑剧本”触发器，启动后会暗中从内置的云控URL中下载恶意载荷，并创建系统服务启动。该服务不仅会从注册表精准定位“加密锁”和“支付诱饵”路径，还会同时开启“反侦察雷达”，尝试检测系统中是否运行有安全软件，其检测名单首先会从云端获取，若失败则启用本地内置名单进行比对。

待检查的安全软件进程名列表

经过分析发现，该勒索软件虽赎金不高、加密算法简单，却在流程中暗藏“心机”。其不搞“落地即加密”的直球操作，而是玩起“延迟触发”剧本，核心是代码里的“引线开关”isExecute值，软件会循环蹲守它的状态，而触发这个引线会根据当前是否可以访问到云控服务器而分为在线或离线两种模式。

在线状态下，它会每10秒向云端“报到”并等待执行指令；若无法联网，则在持续运行超过7天后自动触发加密。此外，即使在联网情况下，若累计运行超过90天仍未收到云端指令，同样会自主启动加密流程。

“引线”被点燃后，MiddCrypto仍需完成一系列前置验证：首先校验设备硬件指纹，若获取失败则部分流程中断；接着通过读取主文件表建立全盘文件索引，以提升加密效率；最后尝试从云端获取加密密钥，若处于离线状态，则使用先前获取的硬件指纹作为替代。

加密触发后，软件将对数百种指定后缀的文件进行加密，主要覆盖文档、图片、设计工程、数据库及源代码等常见重要格式。为确保系统不立即崩溃并能正常弹出勒索界面，它特意避开了系统关键目录（如C:\Windows、Program Files等）及浏览器等特定路径。

在触发加密的同时，该勒索软件还会同步上演一连串“戏码”。其会在桌面创建一个名为“系统修复.lnk”的快捷方式，指向其释放的恶意程序RuntimeFileApp.exe。一旦用户发现文件无法打开，便极易被诱导点击该快捷方式，进而跳转至勒索页面。

其加密逻辑更显“技术流”，主要围绕文件结构、加密算法与遍历方式展开。加密时，软件会在原始数据前面插入40字节的固定标记，用于识别是否已加密，避免重复操作。随后以1MB为块分段读取，从每块的第二个字节开始，以15字节为步长进行循环加密处理。经代码分析与文件对比，这一加密逻辑得到验证。被加密后的文件因结构被破坏，尝试打开时均会报错，无法正常使用。

在实施诈骗与勒索时，MiddCrypto会拼接不同的URL并进行访问，从而获取域名更新、安全软件列表、收款二维码、IP信息、在线沟通页面、恶意载荷下载链接等多项配置。同时，它还会收集用户桌面文件及快捷方式列表。当用户点击伪装成“系统修复”的快捷方式后，诱导程序便以检测文件为名，索要99元“修复费”。

支付页面支持支付宝与微信支付，且金额可云端动态调整（原299元降至99元）。一旦确认支付完成，程序将提示用户重启电脑，完成整个诱导闭环。

360终端安全智能体赋能

硬核反制勒索威胁

面对MiddCrypto的勒索威胁，360已第一时间完成全面布防。目前，360终端安全智能体蜂群以能够完成针对相关钓鱼页面的精准拦截；同时基于对加密逻辑的快速破解，还独家推出解密工具，可有效恢复被加密文件，帮助用户避免数据损失，筑牢安全防线。

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。

该体系将安全专家能力和经验进行固化，集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体。通过安全智能体的协同调度，该体系不仅可以完成自动化、毫秒级的威胁识别与处置，并能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，助力广大政企机构构建AI时代下面向勒索病毒的全生命周期防护能力。

让病毒进不来：在终端与流量侧部署360安全探针，通过互联网入口检测等主动防御能力实时监测威胁。一旦触发病毒告警，终端安全智能体将自动获取样本，快速完成病毒家族鉴定，并联动威胁情报进行深度分析，最终实时同步威胁级别与处置结果，实现在病毒落地阶段的精准查杀与拦截；

让病毒散不开：终端勒索防御智能体能够对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；

让病毒难加密：通过终端安全探针结合云端情报赋能，利用终端安全智能体的自动溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；

加密后易恢复：内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，并通过终端安全智能体实现加密后的全方位恢复工作。

目前，360安全智能体蜂群体系针对不同类别的勒索病毒，不同客户体量与需求，推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。

如需咨询相关服务

请联系电话

400-0309-360

来源：360数字安全