Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

admin 2025年6月13日21:00:48评论11 views字数 1734阅读5分46秒阅读模式
Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!
Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

近期,美创第59号安全实验室监测到多起高度相似的勒索病毒事件,该勒索病毒通过RDP爆破、攻击数据库服务、应用程序1DAY漏洞等方式感染受害主机。一旦得手,病毒会在主机上加密文件进行勒索,加密文件后缀包括但不限于.rox、.wxr、.wxx、.weaxor等。

经分析,该勒索病毒为Weaxor家族。Weaxor家族为热门勒索病毒家族--Mallox家族的新变种。Mallox勒索病毒自2021年出现,至今已实施多起臭名昭著的勒索事件。Weaxor家族作为Mallox家族的变种,自2024年底出现后迅速取代Mallox的主流地位,在多方权威分析统计报告中,Weaxor家族一直是2025年勒索病毒占比排行榜的月度“常胜冠军”。

01
Weaxor勒索病毒感染表现

受害主机在感染Weaxor勒索病毒后,文件会被加密成.rox、.wxr、.wxx、.weaxor等格式。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

同时,病毒会释放勒索信文件RECOVERY INFO.txt,勒索信内容如下:

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

此外在加密器文件目录下,还会生成一个wxr.txt文件,其中记录了被勒索用户的标志信息以及受害主机信息等。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

02
Weaxor勒索病毒样本分析

此次用于分析的Weaxor勒索病毒样本为2025年2月份编译的版本,其使用C++语言进行开发和编译。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

使用静态分析工具对样本文件进行分析,发现其行为如下:

1. 环境检查:病毒运行后,首先检查系统的语言,在特定语言环境下会直接退出程序,不进行加密勒索操作。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

2. 信息收集:病毒会获取操作系统、网卡、磁盘等信息。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

3. 信息外传:上述信息收集完成后会写入到txt文件中,并发送至以下地址http://193.143.1.139/Ujdu8jjooue/biweax.php

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

4. 破坏性操作:

·删除注册表项猜测可能是为了防止受害主机上这些程序被安全监控软件或者运维人员使用,造成勒索病毒无法正常进行或者勒索进程中断,确保攻击影响最大化。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

·删除卷影副本

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

·设置白名单:设置不进行加密的白名单文件以及文件目录

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

5. 文件加密:完成上述前置工作后,Weaxor勒索病毒样本就会开始遍历并挂载所有磁盘卷,读取文件进行加密操作,并将除白名单外的所有文件命名为.wxr后缀。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

一朝诺亚 终生免疫
美创诺亚防勒索

为有效应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的深度分析,基于零信任原则,创造性地研发出针对勒索病毒的终端防护产品——诺亚防勒索系统。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒以下为诺亚防勒索针对Weaxor勒索病毒的实际防护效果演示:

诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档(如需保护数据库文件可通过添加策略一键保护)。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

未开启「诺亚防勒索」

在test目录下,添加以下文件,当服务器感染勒索病毒,该文件被加密,增加统一的异常后缀(如.wxr),且无法正常打开

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

开启「诺亚防勒索」

双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索会立即弹出警告并拦截该行为

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

检查系统,可见test目录下的被测试文件未被加密可被正常打开,诺亚防勒索成功阻断了恶意软件的加密行为。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

开启「诺亚防勒索-堡垒模式」

为全方位守护系统文件安全,诺亚防勒索提供「堡垒模式」。堡垒模式尤其适用于ATM机等极少更新的哑终端设备。一键开启堡垒模式后,所有进入终端的可执行文件都将被阻止运行,有效阻断任何新的应用程序运行,包括勒索软件、已知勒索病毒、未知勒索病毒、挖矿病毒,达到诺亚防勒索的最强防护模式。

在堡垒模式下,尝试执行该病毒文件,立刻被移除到隔离区,病毒运行被阻断。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!

“一朝诺亚,终生免疫”,今天,诺亚防勒索已赢得各级政府单位、医院、教育、能源和大型制造企业等众多用户的认可,成为勒索病毒洪水式侵袭环境下的首要选择。

Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!
Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!
Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!
美创科技入选“勒索攻击防护技术领域代表性厂商”
Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!
零信任防勒索产品+保险赔付+容灾备份:全面开启勒索“韧性”防护
Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!
「诺亚」升级|进阶主动防御,勒索病毒持续免疫
Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!
妇产专科医院遭勒索攻击破局实录|DRCC助力核心业务极速重生

#勒索防护  #勒索病毒 

原文始发于微信公众号(美创资讯):Weaxor来袭,全网沦陷?看“诺亚”如何硬刚最强勒索病毒!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月13日21:00:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Weaxor来袭,全网沦陷?看诺亚如何硬刚最强勒索病毒!https://cn-sec.com/archives/4160711.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息