Dedicated to data recovery, network security, and software development
客服服务时间:7 X 24H 求助热线
NEWS
发布时间:2025-09-17
浏览次数:2
2025 年以来,Weaxor 勒索病毒(隶属 Mallox 家族)凭借高传播性、强破坏性,迅速成为国内企业数据安全的 “头号威胁”—— 其国内传播量占比已超 50%,主要通过 OA 系统漏洞与 RDP 暴力破解入侵,采用双重加密机制锁住企业核心数据,导致大量企业业务停摆。广州捷越网络科技近期成功为某电子制造企业完成 Weaxor 病毒感染数据恢复,现通过实战案例拆解病毒攻击逻辑与恢复技术,为企业防范此类威胁提供参考。
Weaxor 作为 Mallox 家族的主流变种,专为突破企业基础防护设计,核心特征可概括为 “三高一准”:
高传播性:双路径入侵,覆盖多行业
病毒主要通过两大路径渗透企业内网:一是利用OA 系统漏洞(重点瞄准 CVE-2024-31207 Microsoft Exchange 远程代码执行漏洞),攻击者发送含恶意链接的钓鱼邮件,诱导员工点击后植入病毒;二是通过RDP 暴力破解,针对弱密码的 Windows 服务器发起字典攻击,获取管理员权限后横向扩散。目前已在电子制造、汽车零部件、商贸流通等行业集中爆发,单起攻击可影响 5-20 台服务器。
强加密性:双重算法 + 防重复加密,解密难度升级
病毒对企业数据实施 “ChaCha20+AES-256” 双重加密:先通过 ChaCha20 算法对文件索引信息加密,再用 AES-256 算法对文件内容分段加密,加密后文件后缀变为.wxx、.wxr 或.weaxor(根据企业数据类型动态分配)。更棘手的是,病毒会在加密文件尾部追加 16 字节唯一标识符(含攻击时间戳与设备 ID),防止对同一文件重复加密,彻底阻断企业通过 “文件覆盖” 恢复的可能。
高破坏性:锁定核心数据,倒逼赎金支付
与普通勒索病毒不同,Weaxor 会优先扫描并加密企业 “高价值数据”:包括 ERP 系统数据库(如 SAP、用友 U9)、生产工艺图纸(CAD、SolidWorks 文件)、客户订单台账(Excel、CSV 格式)及财务报表,加密后生成名为RECOVER_FILES.txt的勒索信,要求以门罗币支付赎金(通常 5-10 万元),且明确告知 “逾期赎金翻倍,数据永久删除”。
精准规避防护:禁用安全工具,清除攻击痕迹
入侵后,病毒会自动执行 “破坏指令”:强制终止 Windows Defender、360 安全卫士等终端防护进程,修改组策略禁用系统防火墙;同时删除系统安全日志(Security Log)与应用程序日志(Application Log),仅留存少量加密操作记录,给企业应急诊断带来极大阻碍。
深圳某电子制造企业(以下简称 “某企业”)于 2025 年 Q2 遭遇 Weaxor 病毒攻击:部署 ERP 系统、生产管理系统的 6 台 Windows Server 2022 服务器同时中招,4TB 数据被加密(含用友 U9 数据库 1.8TB、PCB 设计图纸 1.2TB、客户订单文档 1TB),文件后缀统一变为.weaxor,OA 系统因 CVE-2024-31207 漏洞被植入后门,RDP 端口遭暴力破解痕迹明显。此时企业正处于新品量产关键期,数据加密导致生产线停工、3 家下游客户订单无法交付,单日损失超 20 万元,紧急联系广州捷越技术团队。
团队抵达现场后,首要任务是切断病毒传播链,同时完成精准诊断:
隔离防护:断开 6 台中毒服务器与内网的连接,关闭其他服务器的 RDP 端口(3389),对 OA 系统服务器实施临时下线,防止病毒进一步扩散;
病毒确诊:提取 3 份不同类型加密文件(数据库、图纸、文档),通过捷越病毒特征库比对,确认后缀.weaxor 及双重加密算法;分析RECOVER_FILES.txt勒索信,结合 OA 系统日志,定位漏洞利用点(CVE-2024-31207);
线索提取:在未重启的 ERP 服务器内存镜像中,发现病毒加密模块残留的 AES 密钥片段,为后续解密提供关键突破口。
针对 Weaxor 的双重加密机制,团队采用 “先破索引、再解内容” 的分层策略,分三类数据攻坚:
ERP 数据库(1.8TB)恢复:数据库文件因双重加密最难破解,团队通过逆向病毒加密模块,发现其对数据库表空间的加密规律 —— 先加密表空间头部索引,再逐块加密数据页。利用内存镜像中的 AES 密钥片段,结合用友 U9 数据库的日志备份(企业每日凌晨自动备份日志),重构出完整密钥生成逻辑,开发定制化解密工具,对 1.8TB 数据库进行 “索引修复 + 数据块解密”,最终通过数据库完整性校验(表行数、字段值比对),恢复率达 100%。
PCB 设计图纸(1.2TB)恢复:图纸文件虽被双重加密,但文件主体结构未被破坏。团队开发 “文件碎片重组工具”,先跳过 ChaCha20 加密的索引部分,读取 AES 加密的文件主体,再通过图纸格式(如 Gerber、DXF)的特征码修复文件头,仅用 12 小时便完成所有图纸恢复,用专业设计软件打开测试,图层、尺寸等关键信息无任何丢失。
客户订单文档(1TB)恢复:针对 Excel、Word 等文档,利用病毒 “防重复加密标识符” 的反向逻辑,提取未被加密的文档元数据(如作者、创建时间),结合文档格式模板,快速修复加密部分,10 小时内完成 1TB 文档恢复,打开后内容完整度 100%。
数据恢复后,团队针对 Weaxor 的攻击路径,为企业构建 “多层防护体系”:
漏洞清零:为所有服务器安装 CVE-2024-31207 漏洞补丁,升级 OA 系统至最新安全版本,关闭不必要的 Web 服务端口;
访问管控:重构 RDP 访问策略,仅允许企业内网指定 IP 访问,启用 “动态密码 + USBKey 双因子认证”,杜绝暴力破解风险;
防护升级:部署捷越自研的 EDR 终端防护系统,开启 “文件加密行为监控” 功能,一旦检测 ChaCha20/AES 加密特征,立即触发告警并阻断操作;
备份优化:协助企业升级 “3-2-1 备份机制”,对 ERP 数据库实施 “实时增量备份 + 异地离线备份”,每周进行备份恢复测试,确保数据可随时找回。
某企业 IT 总监在数据恢复后表示:“最初以为 4TB 核心数据加密后只能妥协支付赎金,没想到捷越团队不仅破解了双重加密,还帮我们堵住了 OA 和 RDP 的漏洞。现在生产线已恢复正常,客户订单也顺利交付,避免了近百万的损失,这才是专业数据安全服务商的实力!”
基于本次实战经验,广州捷越针对 Weaxor 病毒的攻击特点,为企业提供 “事前 - 事中 - 事后” 全周期防护建议:
漏洞优先修复:立即排查并修补 CVE-2024-31207 Microsoft Exchange 漏洞,定期对 OA 系统、服务器进行漏洞扫描(建议每月 1 次),避免 “已知漏洞被利用”;
严控访问权限:优化 RDP 配置,禁用弱密码(密码长度≥12 位,含大小写、数字、特殊字符),启用账户锁定策略(5 次错误密码锁定 30 分钟),非必要不开放公网 RDP 访问;
强化终端防护:部署支持 “勒索病毒特征识别” 的 EDR 系统,对 ERP、OA 等核心系统服务器,开启 “文件写入白名单”,仅允许合法程序修改关键数据。
快速隔离:发现文件后缀变为.wxx/.wxr/.weaxor 或存在RECOVER_FILES.txt时,立即断开中毒设备与内网连接,避免病毒通过局域网横向传播;
留存证据:不删除病毒残留文件(如加密样本、勒索信),不重启服务器,保留内存镜像与系统日志(即使部分被清除),为后续解密提供线索;
专业求助:拒绝自行使用 “通用解密工具”(可能导致数据二次损坏),第一时间联系具备 Mallox 家族病毒解密经验的技术团队,缩短恢复周期。
数据恢复后,需完成三项关键动作:一是全内网扫描,确认无病毒变种残留;二是组织全员安全培训,重点讲解 “钓鱼邮件识别”“OA 系统安全操作”;三是每季度开展一次 “勒索病毒应急演练”,检验防护体系有效性,避免二次攻击。
Weaxor(Mallox 家族)勒索病毒的爆发,警示企业 “数据安全需以实战为导向”。广州捷越网络科技深耕数据恢复与网络安全领域 10 余年,已成功破解 Mallox、Conti、LockBit 等 20 余大家族勒索病毒,累计恢复企业数据超 800TB,尤其在 Weaxor 病毒的双重加密破解上,形成了成熟的技术方案。
若您的企业遭遇 Weaxor 或其他勒索病毒攻击,或需搭建 “漏洞防护 + 数据备份 + 应急响应” 的全体系安全方案,欢迎立即联系广州捷越技术团队 —— 我们将以 “技术攻坚 + 7×24 小时响应”,为您的核心数据筑牢 “不可破” 的安全防线,让企业数字化运营无后顾之忧!
Copyright © 2025 JEYUE All Rights Reserved.
13725371968
微信二维码