当前位置: 首页 > news >正文

国内近期活跃勒索病毒家族威胁分析:Weaxor、Wmansvcs、Sorry

2026年上半年,国内勒索软件威胁持续攀升。根据360数字安全集团发布的月度报告,Weaxor、Wmansvcs、Sorry三大家族长期占据国内勒索软件感染占比前三名。以下逐一介绍各家族的攻击特征、目标企业及薄弱点。

一、Weaxor 勒索家族

Weaxor 是曾经活跃的Mallox 勒索软件家族的“品牌重塑”版本,其技术架构与攻击战术均继承了 Mallox 的隐蔽性与破坏力。该家族自2024年10月首次在国内现身以来便展现出极强的渗透能力,2025年持续占据国内勒索攻击活跃度榜首。

攻击核心表现:

1. 跨平台攻击能力持续扩张

Weaxor最初主要聚焦Windows系统平台,2026年已新增针对Linux服务器平台的变种。该Linux变种为64位ELF可执行文件,支持通过参数指定加密线程数、文件加密分块大小、运行模式等,并可选择普通文件加密模式或VM/虚拟磁盘加密模式。样本启动后会首先检测CPU是否支持AVX2指令集——不支持的设备直接退出,既保障加密效率,也兼顾“反分析”功能。

2. 漏洞利用驱动的攻击模式

攻击者密集利用国内主流OA系统、Web应用程序的远程代码执行(RCE)漏洞作为跳板,进行投毒并加密数据。在Windows平台下,Weaxor持续通过多轮更换远程下发的BYOVD(自带易受攻击的驱动程序)以对抗安全软件。该家族还迅速将开源情报披露的联想漏洞驱动武器化发起攻击。

3. 双层加密架构

Weaxor采用复杂的双层加密架构,主要涉及ChaCha20流密码与AES对称加密的组合,部分变种甚至引入RSA非对称加密,极大地增加了数据恢复难度。

攻击目标:

Weaxor 的行业覆盖范围广泛,重点攻击制造业、医疗保健、商业服务、零售、建筑业和能源等行业。典型案例如下:

  • 华东某三甲医院因未及时打补丁,遭Weaxor勒索软件攻击,导致120急救系统停摆4小时,37台手术延期,损失超千万元。
  • 烟台某制造企业遭AI智能体辅助的勒索软件攻击,72小时内系统被加密、备份被删除,损失5000万元。

企业薄弱点:

Weaxor 攻击者利用未受保护的Microsoft SQL(MSSQL)服务器、远程桌面协议(RDP)暴力破解以及特定漏洞(如CVE-2024-51324)作为主要初始访问向量。企业的核心薄弱点包括:数据库服务器缺乏有效防护、OA及Web应用未及时修补高危漏洞、终端安全软件缺失或防护未开启

二、Wmansvcs勒索家族

自2025年6月首次现身以来,Wmansvcs 勒索软件迅速跻身国内最为活跃的勒索软件之一,感染量长期稳居前二。该家族目前主要演化出“.peng”与“.wman”两个后缀分支。

攻击核心表现

1. 高度聚焦国内用户的定向攻击

Wmansvcs展现出了高度明确的攻击意图——高度聚焦国内用户,通过远程桌面协议(RDP)弱口令手段,对特定IP进行长期定向投毒与横向渗透。入侵一台设备后,再向内网其他机器扩散。

2. 高效的“稀疏加密”策略

Wmansvcs采用Rust语言开发,支持对本地计算机、网络计算机、域计算机环境进行加密。文件加密采用ChaCha20算法:当文件小于等于512KB时进行全文件加密,大于512KB则只加密文件的前512KB内容。“.peng”分支对超过一定大小的文件采用分块加密,仅加密文件头部的64KB。

这种“稀疏加密”策略目的明确:加密和解密速度极快,尤其对于服务器上的数据库类大文件几乎是瞬间完成;同时通过加密文件头(确保文件“打不开”)、中间块(确保文件“看不全”)、文件尾(确保文件“无法索引/无法跳转”)三个关键部位,以最小的工作量实现最大的破坏效果。

3. 勒索信与壁纸篡改

加密完成后,Wmansvcs会释放名为“
DECRYPTION_INFORMATION.html”的勒索信,并修改系统桌面壁纸。

攻击目标:

Wmansvcs 主要针对国内各类企业,尤其是未部署有效终端安全防护产品的组织。该家族通过RDP弱口令进行扩散,攻击目标涵盖制造业、商贸、服务业等广泛行业。

企业薄弱点:

Wmansvcs攻击的核心薄弱点十分明确:远程桌面协议(RDP)弱口令——这是该家族最主要的入侵通道。被感染的设备均是内部网络中未部署有效终端安全防护产品的设备。360监测数据显示,大量企业网络中存在缺乏基础防护的“裸奔”设备,致使攻击者无需绕过安全软件而仅凭暴力破解即可轻松获利。

三、Sorry 勒索家族

Sorry 勒索软件自2026年3月首次爆发以来,快速成长为国内头部高危勒索软件家族。该家族被确认为与TellYouThePass家族存在较强关联的新变种。TellYouThePass家族以热衷于利用“当红”漏洞进行批量传播著称,曾利用用友NC漏洞、Apache Log4j RCE(CVE-2021-44228)、ActiveMQ RCE(CVE-2023-46604)等高危漏洞实施大规模攻击。

攻击核心表现:

1. 跨平台批量自动化攻击

Sorry家族覆盖Windows与Linux双平台。在Linux平台,主要利用cPanel认证绕过漏洞(CVE-2026-41940)大肆传播。该漏洞影响2014年3月4日发布的cPanel 11.42至2026年5月1日修复版本之间的所有版本。攻击者在漏洞披露后48小时内即开始大规模利用。截至2026年4月30日,全球已有超过44,000个IP地址被入侵,其中7,135个确认为cPanel或WHM实例。

在Windows平台,Sorry主要利用Borland Socket Server组件漏洞进行传播。该组件漏洞影响了国内多个行业头部厂商的中小微企业管理软件。

2. 三层混合加密架构

Sorry变种采用复杂的三层混合加密架构,可能采用“高效对称算法加密文件+非对称算法封装密钥”的组合模式,密钥管理结构复杂,疑似存在多层封装。加密后的文件结构固定可识别,包含Magic头部、CHUNK长度值、RSA封装块等。

3. 完整的攻击链

Sorry采用“漏洞自动化批量投放”策略,通过扫描互联网侧暴露的企业服务组件,利用已知高危RCE漏洞获取远程代码执行能力。攻击成功后立即触发远程命令拉取下一阶段载荷,全程自动化,无需人工干预。勒索主程序以MSI安装包形式封装,托管于攻击者控制的阿里云OSS存储桶中,利用合法云存储平台托管恶意载荷以规避安全过滤。执行后首要动作是定向停止Microsoft SQL Server及相关数据库服务,以确保数据库文件可被完整加密。

攻击目标:

Sorry 的 Windows 版本在国内主要影响医药、医疗器械、中小商贸企业,以及其他各类中小微企业。Sorry 勒索软件中招用户高度集中在财务软件使用者。该病毒主要利用老旧 ERP 系统或 OA 系统存在的弱口令或 Nday 漏洞,对部署核心业务系统的服务器发起精准打击,案例包括广东某连锁药店(管家*系统)、上海某医疗器械外贸企业(*蝶 ERP)等。

企业薄弱点:

Sorry 攻击的核心薄弱点包括:

  • 老旧软件未及时更新
  • 企业对外暴露的、未修补的高危漏洞:包括cPanel认证绕过漏洞(CVE-2026-41940)、Borland Socket Server组件漏洞等。
  • 核心业务系统(OA、ERP)缺乏有效防护:这些系统往往部署在互联网侧且未及时修补漏洞。

总结:共同的薄弱点与防护建议

综合三大活跃勒索家族的攻击特征,企业面临的共同薄弱点主要集中在以下方面:

  1. 基础安全防护严重缺失:360监测数据显示,遭勒索攻击的设备中,未安装任何安全软件的占比长期高达58%至61%。大量企业在被攻击时处于事实上的“裸奔”状态。
  2. 远程访问通道安全性不足:RDP弱口令是Wmansvcs的主要入侵途径,也是众多勒索攻击的通用入口。
  3. 漏洞修补滞后:无论是Weaxor利用的OA/Web应用RCE漏洞、Sorry利用的cPanel认证绕过漏洞,还是Borland Socket Server等老旧组件漏洞,根源都在于未及时修补已知高危漏洞
  4. 老旧软件长期服役:大量企业仍在运行已停止维护的软件版本,成为勒索攻击的突破口。
  5. 缺乏纵深防御体系:多数企业仅配置基础杀毒软件,缺乏漏洞巡检、身份管控、网络隔离等纵深防护措施。
http://www.jsqmd.com/news/1146177/

相关文章:

  • 实战指南:MATLAB鲁棒管模型预测控制高效实现与扰动处理
  • 场外个股期权行权价怎么选?平值、虚值、实值全面解析
  • OpenCV 4.8 实战:Sobel与Canny边缘检测5步调优,F1分数提升15%
  • 掌握这些 选建筑装饰冲孔雕花铝单板不再愁
  • 如何快速掌握雀魂牌谱屋:数据分析的完整指南
  • 计算机毕业设计之基于Vue与SpringBoot的学生宿舍管理系统
  • 3分钟掌握通达信缠论插件:技术分析新手的终极指南
  • 多模态论文
  • 深圳奇点点信息科技有限公司连续中标多项AI算力项目
  • 3个核心功能让GTA5线上模式体验提升200%:开源工具完全指南
  • OpenFace:5大核心功能解析与实战应用指南
  • rgthree-comfy深度解析:Power Lora Loader架构设计与高效多模型管理技术方案
  • 141、IoU 损失函数从零推导:IoU 到 GIoU 到 DIoU 到 CIoU 的公式演进与代码
  • 【从0到1构建一个ClaudeAgent】协作-Worktree+任务隔离 _
  • Label Studio终极指南:免费开源的多模态数据标注工具
  • APK Installer:Windows跨平台Android应用安装解决方案
  • 直付通二级商户的“信任杠杆”:用好一级方的背书效应
  • 惠普暗影精灵笔记本终极性能控制指南:OmenSuperHub完整教程
  • 现代操作系统与大学教材的鸿沟:从理论抽象到工程实践的跨越
  • 变分推断与KL散度:从ELBO推导到VAE损失函数的3步拆解
  • 如何用神奇工具轻松下载全网小说:novel-downloader终极指南
  • 你的SEO排名再高也挡不住AI搜索的降维打击
  • 搜不到你的品牌?2026年AI搜索排名优化(GEO)的完整技术指南
  • 和平精英吃丹修仙灵宠洗练进化路线 云手机刷魔君养灵宠性价比
  • MDAnalysis 2.9.0:分子动力学分析的并行计算革新与生态演进
  • 2026微博图片去水印方法,合法合规教程,手机电脑工具推荐
  • 普推黑体(PUTUI)最终版来了,揭开免费字体的注意!
  • SPDK网络存储实现:NVMe-oF和iSCSI target的完整部署指南
  • 从告警到多防火墙联动封禁:智能体与XDR的自动化响应实践
  • 爬坑 10 年!京东店铺全量商品接口实战开发:从分页优化、SKU 关联到数据完整性闭环