一种名为 Dire Wolf 的复杂新型勒索软件菌株将先进的加密技术与破坏性的反恢复功能相结合，已成为对全球组织的重大威胁。

该恶意软件组织于 2025 年 5 月首次出现，此后已针对亚洲、澳大利亚、意大利和美国地区的制造、IT、建筑和金融等不同行业的 16 个组织。

恐狼采用双重勒索策略，不仅加密受害者的数据，还威胁公开泄露敏感信息。

该组织通过暗网泄密网站运作，并通过 Tox Messenger 平台与受害者沟通，并表示他们的主要动机是经济利益。

在出现后的短短几个月内，他们就展示了对企业环境和恢复机制的深入理解。

ASEC 分析师确定了 Dire Wolf 有别于其他勒索软件家族的几个独特特征。

该恶意软件通过将 Curve25519 密钥交换与 ChaCha20 流加密相结合，为每个加密文件创建唯一的会话密钥，展示了先进的技术能力。

这种加密方法有效地阻止了所有已知的解密方法，使受害者除了与攻击者协商之外没有恢复选择。

勒索软件的执行从基于参数的控制机制开始，利用命令行参数，例如目录定位和帮助功能。-d-h

初始化后，它使用系统范围的互斥锁执行保护检查，并搜索完成标记以防止重复感染。Global\direwolfAppMutexC:\runfinish.exe

先进的反恢复和规避技术

《恐狼》最令人担忧的特点在于它系统地破坏了恢复基础设施。

该恶意软件实施持久性事件日志删除机制，持续监控和终止 Windows 事件日志服务。

此过程涉及执行 PowerShell 命令以通过 WMI 查询标识事件日志服务进程 ID：-

Get-WmiObject -Class win32_service -Filter "name = 'eventlog'" | select -exp ProcessId

然后，恶意软件使用无限循环中的命令强制终止服务，确保即使管理员重新启动服务，它在整个攻击过程中仍会被阻止。taskkill

此外，恐狼使用诸如 的命令系统地删除系统还原点，并通过 禁用 Windows 恢复环境。vssadmin delete shadows /all /quietbcdedit /set {default} recoveryenabled No

勒索软件会主动终止关键进程，包括数据库（MSSQL、Oracle）、邮件服务器（Exchange）、虚拟化平台（VMware）和备份软件（Veeam、Veritas BackupExec）。

完成加密后，它会创建标记文件，以 10 秒的延迟强制系统重新启动，并执行自我删除例程以删除恶意可执行文件的痕迹，从而使取证分析和事件响应工作变得非常复杂。