【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

最新推荐文章于 2025-05-07 21:52:50 发布

solar应急响应

最新推荐文章于 2025-05-07 21:52:50 发布

阅读量796

点赞数 18

分类专栏：紧急警示文章标签：网络安全网络应急响应

本文链接：https://blog.csdn.net/solarset/article/details/147417160

版权

紧急警示专栏收录该内容

2 篇文章

订阅专栏

在我们对4月份勒索病毒入侵事件的统计中，Weaxor 勒索病毒家族的活动频率位居首位，出现了多个变种版本，使用的加密后缀包括 .weaxor、.wxx、.wxr .rox 等，显示出该家族正在持续演化升级。

经溯源分析发现，该家族普遍通过企业部署的部分OA系统存在的安全漏洞实施入侵。在近期多个案例中，某些广泛使用的财务类管理系统成为攻击者重点利用的入口，相关系统漏洞暴露风险值得高度关注。

1.勒索病毒组织介绍

Weaxor家族在2024年11月首次现身，该勒索病毒会将“.rox”扩展名附加到受感染文件的名称后，并留下名为“RECOVERY INFO.txt”的勒索信。信中包含了Weaxor家族的暗网地址，受害者可以通过该地址进入一个一对一的聊天界面，其他人无法访问。值得注意的是，暗网地址的首页为空白，这一设计显得格外耐人寻味。

一对一聊天界面

首页

1.1疑似mallox源码修改

此加密器与mallox家族极其相似，疑似为mallox源码修改之后编译得到，mallox具体分析请参考文章【病毒分析】Mallox勒索家族新版本：加密算法全面解析

相似之处

1.都为不加密固定的五个语言俄语、哈萨克语、白俄罗斯语、乌克兰语和土库曼语；

2.都调整电源计划为高性能模式；

3.删除的注册表内容一致；

4.密钥生成和加密算法基本一致，但是rox在生成随机数的情况下又再次生成了0x38个字节的随机数，修复了mallox会被破解出密钥的情况；

5.信息回传的格式，以及url极其相似，mallox url如下：

http://193.106.191.141/QWEwqdsvsf/ap.php

rox url如下:

http://193.143.1.139/Ujdu8jjooue/biweax.php

不同之处

1.rox未对关机键进行隐藏；

2.获取文件方式不同，mallox获取文件方式为遍历文件，然后通过完成端口将文件提交到队列中，加密线程通过队列获取文件，而rox则是通过一个全局列表来传输；

3.rox开启了较高的编译优化，而malllox则没有。

2.勒索病毒样本分析

该勒索病毒样本的技术细节，我们已在此前发布的分析文章中进行了全面解读，欢迎回顾查看【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！

3.攻击分析

在近期的溯源分析工作中，我们注意到部分企业部署的财务系统（如畅捷通 T+）在安全配置上存在一定风险点。攻击者疑似通过该系统的SQL注入漏洞进行初始渗透，进而调用系统组件执行恶意命令，从远程服务器下载并执行脚本，逐步提升权限，最终完成远程控制。

3.1产品介绍

畅捷通T+是一款面向中小企业的财务与业务一体化管理软件，集成了财务管理、库存管理、采购销售、报表生成等模块，支持多角色协同办公，广泛应用于零售、制造、服务等多个行业。用户可通过浏览器访问，实现多端操作与远程办公。

3.2黑客攻击路线图

4.溯源分析

2025/4/5 17:44:10-2025/4/5 17:44:19攻击者利用keyEdit.aspx接口存在的sql注入漏洞。

攻击者利用sql注入漏洞

攻击者首先修改SQL Server配置，启用高级选项并激活OLE自动化过程（如sp_oacreate），为后续利用对象自动化功能执行系统命令铺平道路。随后，攻击者通过wscript.shell组件执行恶意命令，并尝试利用SQL PowerShell（sqlps）运行IEX（Invoke-Expression），从远程服务器（http://107.149.212.224:8000/new）下载并执行恶意脚本。这一系列操作旨在绕过安全限制，获取系统控制权，最终实现远程代码执行（RCE）。