Dedicated to data recovery, network security, and software development
客服服务时间:7 X 24H 求助热线
NEWS
发布时间:2024-12-30
浏览次数:261
1.背景
1.1 家族介绍
wxr家族在2024年11月首次现身,该勒索病毒会将“.rox”扩展名附加到受感染文件的名称后,并留下名为“RECOVERY INFO.txt”的勒索信。信中包含了wxr家族的暗网地址,受害者可以通过该地址进入一个一对一的聊天界面,其他人无法访问。值得注意的是,暗网地址的首页为空白,这一设计显得格外耐人寻味。
一对一聊天界面
1.1 疑似mallox源码修改
此加密器与mallox家族极其相似,疑似为mallox源码修改之后编译得到,mallox具体分析请参考文章028.【病毒分析】Mallox勒索家族新版本:加密算法全面解析
相似之处
都为不加密固定的五个语言俄语、哈萨克语、白俄罗斯语、乌克兰语和土库曼语;
都调整电源计划为高性能模式;
删除的注册表内容一致;
密钥生成和加密算法基本一致,但是rox在生成随机数的情况下又再次生成了0x38个字节的随机数,修复了mallox会被破解出密钥的情况;
信息回传的格式,以及url极其相似,mallox url如下:
http://193.106.191.141/QWEwqdsvsf/ap.php
wxr url如下:
http://193.143.1.139/Ujdu8jjooue/biweax.php
不同之处
wxr未对关机键进行隐藏;
获取文件方式不同,mallox获取文件方式为遍历文件,然后通过完成端口将文件提交到队列中,加密线程通过队列获取文件,而wxr则是通过一个全局列表来传输;
wxr开启了较高的编译优化,而malllox则没有。
2.恶意文件基础信息
2.1 加密器基本信息
文件名 QcmDAENTDj.exe
编译器 Microsoft Visual C/C++(16.00)
大小 709 KB
操作系统 Windows(Vista)[AMD64, 64位, GUI]
模式 64 位
类型 EXEC
字节序 LE
MD5 0d7e80ec85db5cb45642235cb2381a0c
SHA1 f0a15a7ecaff7d0659bab2a416e5d668ff67724e
SHA256 e21cbdbf6414ffc0ef4175295c7e188800a66b7b83302bd35b7e3fd6fabfccde
2.3 勒索信
Your data has been encrypted
In order to return your files back you need decryption tool
1)Download TOR Browser
2)Open in TOR browser link below and contact with us there:
http://weaxorpemwzoxg5cdvvfd77p3qczkxqii37ww4foo2n4jcftxxxxxx.onion/lsaHqOhaJLOyrWSPvtJajdzqrftqzOlt/A07319B0F9F18E74D1888C2E58592BA9B205D3D3B42239D4D63CF2968FDC7440
Or email: lazylazy@tuta.com
Backup email: help.service@anche.no
Limit for free decryption: 3 files up to 5mb (no database or backups)
3.加密后文件分析
3.1威胁分析
病毒家族 wxr
首次出现时间/捕获分析时间 2024/11 || 2024/12/11
威胁类型 勒索软件,加密病毒
加密文件扩展名 .rox
勒索信文件名 RECOVERY INFO.txt
有无免费解密器? 无
检测名称 Avast (Win32:Malware-gen), AhnLab-V3 (Trojan/Win.Generic.C5576951), ALYac (Gen:Variant.Tedy.512515), Avira (no cloud) (TR/Ransom.imrnt), BitDefenderTheta (Gen:NN.ZexaF.36802.yq0@aSdxC8m), CrowdStrike Falcon (Win/malicious_confidence_100% (W)),Cylance(Unsafe),DeepInstinct(MALICIOUS),Emsisoft(Gen:Variant.Tedy.512515 (B)),ESET-NOD32(A Variant Of MSIL/Filecoder.LU),GData(Gen:Variant.Tedy.512515), Ikarus (Trojan.MSIL.Crypt),K7GW(Trojan ( 0052f4e41 ))
感染症状 无法打开存储在计算机上的文件,以前功能的文件现在具有不同的扩展名(例如,solar.docx.rox)。桌面上会显示一条勒索要求消息。网络犯罪分子要求支付赎金(通常以比特币)来解锁您的文件。
感染方式 受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接
受灾影响 所有文件都经过加密,如果不支付赎金就无法打开。其他密码窃取木马和恶意软件感染可以与勒索软件感染一起安装。
Copyright © 2025 JEYUE All Rights Reserved.
13725371968
微信二维码