国内首个！360开发SnowSoul勒索软件专用解密解决方案

近日，360数字安全集团成功捕获并深度解析了活跃的勒索病毒家族SnowSoul，并实现了国内首次针对该家族的有效解密。

据360数字安全集团发布的《2025年9月勒索软件流行态势分析》权威报告披露，新兴勒索软件家族SnowSoul于当月在中国境内活跃现身并留下明确传播痕迹。
360经跟踪分析发现，该勒索软件采用对称加密与非对称加密相结合的混合方案来加密受害者文件，具备三大核心特征：
其一，传播效率极高，可在短时间内渗透企业网络；
其二，干扰覆盖面广，可瘫痪多类业务终端；
其三，对生产业务破坏性显著，直接威胁核心数据安全与业务连续性。
为破解该勒索家族并寻找处置方案，360随即启动全链路追踪溯源机制，同步完成对该家族运行机制的深度解构，依托自研终端安全智能体蜂群，实现了从样本行为分析、加密流程逆向到密钥管理机制的全链路研究。

SnowSoul勒索加密前处理流程示意图

SnowSoul勒索软件加密流程示意图

在前置操作阶段中，SnowSoul以多维度系统控制构建防御对抗闭环为特点，其会主动规避特定目录或文件，其中虽多为系统目录，但部分名称异常，推测可能源于拼写错误。会通过注册表修改禁用任务管理器阻断用户干预，执行bcdedit命令关闭系统恢复模式，切断自修复路径，删除卷影副本及备份目录数据库瓦解系统备份恢复能力，为后续加密操作创造无干扰环境。

SnowSoul勒索软件系统前置操作代码

在持久化驻留阶段中，SnowSoul以隐蔽稳定系统驻留为特点，通过把当前可执行文件自身复制到用户的Roaming目录下（通常对应系统环境变量的%AppData%），并以指定文件名运行实现持久化，若发现同名文件则直接覆盖并重新启动进程。这种自我复制与覆盖运行的手段，不仅确保了勒索软件在系统中的持续存在，也为后续攻击活动的展开提供了隐蔽的运行时环境。

复制到指定%AppData%中并启动

在加密执行阶段中，SnowSoul以混合加密架构与文件结构精密设计为特点，首先会终止可能干扰加密的系统服务，随后使用AES-CBC算法对532种常见文件类型进行加密，而加密文件的AES密钥则由硬编码的RSA-2048公钥进行非对称加密。加密文件具有固定结构：头部8字节为用于加密的AES算法中的IV值，尾部344字节为RSA加密过的AES密钥再次进行Base64编码后的数据。完成加密后，原文件被覆盖删除，新文件被附加随机扩展名，最终释放勒索信完成整个攻击流程。

被释放到受害者系统中的勒索信

尽管SnowSoul勒索软件采用了成熟的“AES + RSA-2048”混合加密方案，360仍通过深度分析发现了其具体实现中的关键缺陷，并基于360终端安全智能体蜂群成功开发出专用解密解决方案，经多轮次真实样本测试及受灾环境验证，能够稳定、有效地恢复被SnowSoul加密的文件。

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范，基于云端310亿样本情报与15亿终端数据的支撑，结合云端大数据分析、云查引擎以及顶尖安全专家能力，能够迅速识别新型勒索病毒，助力用户有效构建勒索防护体系。
在大模型技术重构网络攻防格局的当下，传统人工主导的勒索防御体系正深陷多重困境，例如大模型可在数小时内生成适配不同场景的勒索恶意代码变种，加上大模型衍生的动态攻击策略（如实时调整的钓鱼邮件话术、多维度混淆的攻击流量），传统安全防护手段难以应对。
面对大模型催生的新型安全威胁，唯有以AI技术构建防御体系，才能实现“以模治模”的主动防护，而“大模型负责精准认知、智能体负责高效执行”的双路径协同，正是突破传统防御困境的核心方向。
在360安全大模型的赋能下，360将安全专家的能力和经验进行固化，并结合过去20年积累的海量样本数据、情报能力以及终端安全上1200余项能力点，打造出终端安全智能体蜂群，并将勒索风险评估、病毒情报、病毒查杀、关联分析、终端隔离及文件恢复等核心能力整合为MCP化服务，实现安全运营的动态闭环。
该智能体蜂群涵盖运营管理、漏洞治理、病毒查杀、高级威胁检测、数据安全等多个智能体，全面增强了终端在威胁检测、分析与响应方面的自动化水平。此外，通过集成AI办公与智能工具能力，在保障安全的同时，进一步优化了用户的使用体验。
基于多智能体协同机制，360终端安全智能体蜂群能够从多维度感知终端风险与威胁，自主完成分析研判与安全响应，独立执行复杂的终端安全运营任务。
以勒索防护场景为例：

事前：智能体前置检测与备份，构建勒索防御第一道防线
凭借勒索风险评估、勒索相关漏洞修复、勒索病毒情报及弱密码扫描等能力，提前识别潜在风险，并通过文件自动备份、数据保险箱等机制，从源头筑牢防御壁垒，为后续防御动作做好充分准备。
事中：智能体多维防御与诱捕，精准拦截勒索攻击
在攻击过程中，一方面运用基于样本的反勒索专属引擎、勒索病毒专项查杀等手段，同时结合智能体执行终端隔离、关闭远程服务等操作；另一方面通过智能诱捕实时监测文件操作行为，阻断批量恶意修改加密，还借助基于行为的智能体筛选关联、自动关联分析等能力，全方位拦截勒索攻击，让其无处遁形。
事后：智能体执行解密与恢复，最大程度降低损失
勒索发生后，依托本地恢复、云端解密服务、勒索保险、云盘恢复及本地勒索解密等多重能力，针对被加密文件开展解密恢复工作，最大程度减少因勒索攻击造成的经济与数据损失，实现攻击后的有效补救。
目前，360依托终端安全智能体蜂群针对不同客户体量与需求推出多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。
仅2024年中，360为监管、政企机构打造的勒索预警订阅服务，全年共计捕获勒索攻击事件线索5863起，涉及受害单位2148家，确认勒索病毒家族59个，攻击IP来源地涉及境外54个国家或地区，配合监管输出勒索攻击事件线索658起，覆盖全国多个地区，帮助广大政企单位构建多层次纵深防御能力，实现多方位、全流程、体系化的勒索防护。
在勒索威胁层出不穷的当下，360终端安全智能体蜂群无疑是广大政企机构构筑数字安全防线的首选。基于本次事件，360特别强调：鉴于当前绝大多数勒索软件采用以RSA为核心的混合加密机制，在无法获取攻击者私钥的情况下，完备的离线/不可变备份是数据恢复的唯一核心防线。
因此，建议广大政企机构绝不能因偶发的解密成功而动摇备份这一根本策略，必须对其保持最高程度的重视与持续投入。

如需咨询相关服务

请联系电话

400-0309-360

来源    360数字安全

360帮助广大政企单位构建多层次纵深防御能力，实现多方位、全流程、体系化的勒索防护。