惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
Tenable Blog
月光博客
月光博客
雷峰网
雷峰网
WordPress大学
WordPress大学
博客园 - 司徒正美
Last Week in AI
Last Week in AI
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
V
Visual Studio Blog
H
Help Net Security
Engineering at Meta
Engineering at Meta
Google DeepMind News
Google DeepMind News
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
S
Security @ Cisco Blogs
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
爱范儿
爱范儿
W
WeLiveSecurity
J
Java Code Geeks
Forbes - Security
Forbes - Security
H
Hacker News: Front Page
T
Threatpost
The Cloudflare Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
N
Netflix TechBlog - Medium
Latest news
Latest news
V2EX - 技术
V2EX - 技术
小众软件
小众软件
T
The Blog of Author Tim Ferriss
A
Arctic Wolf
B
Blog RSS Feed
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
I
InfoQ
C
Check Point Blog
N
News | PayPal Newsroom
Cyberwarzone
Cyberwarzone
V
V2EX
TaoSecurity Blog
TaoSecurity Blog
P
Privacy & Cybersecurity Law Blog
Microsoft Security Blog
Microsoft Security Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
D
DataBreaches.Net
F
Fortinet All Blogs
阮一峰的网络日志
阮一峰的网络日志
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
IT之家
IT之家
K
Kaspersky official blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Google DeepMind News
Google DeepMind News
C
CXSECURITY Database RSS Feed - CXSecurity.com
www.infosecurity-magazine.com
www.infosecurity-magazine.com

安全客-有思想的安全新媒体

停产六周即破产:德国37年纺织老厂之死,揭示网络攻击最残酷的真相-安全KER - 安全资讯平台 Ghostcommit 攻击:恶意提示藏入图片,劫持Agent实施窃取-安全KER - 安全资讯平台 智能体面临的十大安全风险问题-安全KER - 安全资讯平台 紧急!医疗巨头美敦力遭黑客入侵,患者隐私数据大规模外泄,这些坑普通人千万别踩-安全KER - 安全资讯平台 伊朗黑客组织亮出"秘密武器":Cavern C2框架如何绕过所有安全检测-安全KER - 安全资讯平台 630GB机密挂上暗网:苹果二十年供应链铁幕一夜崩塌-安全KER - 安全资讯平台 【FDE前沿部署工程师】全国百城上岗计划二期来啦!-安全KER - 安全资讯平台 RedAmon:串联侦察、漏洞利用与后渗透的 AI 安全工具-安全KER - 安全资讯平台 SecSuite—— 搭载人工智能的开源情报、Web 与 API 安全综合测试工具-安全KER 恶意Skills利用扫描规避技术攻击Claude Code和Codex-安全KER - 安全资讯平台 T3MP3ST 安全框架:集成 35 款工具,将 AI 代码智能体转化为零日漏洞挖掘器-安全KER 首个AI全流程勒索攻击来了:JADEPUFFER证明,勒索不再需要人类操盘手-安全KER - 安全资讯平台 不给钱就社死,勒索软件又有新套路-安全KER - 安全资讯平台 一款完全离线的自主渗透测试智能体AIRecon-安全KER - 安全资讯平台 纳米Work Box全国渠道伙伴招募正式启动-安全KER - 安全资讯平台 新开源网络安全平台CyberSentinel AI v3.0 正式亮相-安全KER - 安全资讯平台 「文科生AI黑客松」专访:社会工作专业范心怡,和她那个会夸人的电子穿搭闺蜜-安全KER - 安全资讯平台 Splunk AI Toolkit曝高危漏洞:CVSS 9.1,可远程执行任意系统命令-安全KER - 安全资讯平台 不写代码,照样赢!全国首届文科生AI黑客松圆满落幕-安全KER - 安全资讯平台 AI安全网关:企业统一接入、安全防护与数据安全的必要性与实践路径-安全KER - 安全资讯平台 借一个简单AI靶场初步了解提示词注入-安全KER - 安全资讯平台 瑞数信息入选IDC《中国智能体威胁检测技术评估,2026》-安全KER - 安全资讯平台 GitHub 被黑,3800个内部仓库外泄:从一枚恶意VS Code扩展说起-安全KER - 安全资讯平台 从开源投毒到AI生成代码:供应链安全为何成为企业安全的主战场?-安全KER - 安全资讯平台 灵境 AIDR 技术首发 | 以 AI 治理 AI,悬镜智能体安全卫士新品发布-安全KER 基于 Hypervisor 的 Denuvo DRM 绕过与 "社工闭环" 威胁模型研究-安全KER 国务院令第834号已落地:软件供应链安全,企业欠缺的不是工具,是这三件事-安全KER - 安全资讯平台 重大安全信号藏在这场国际会议的“行动指南”里-安全KER - 安全资讯平台 NGINX惊爆18年老洞,野外攻击已开始-安全KER - 安全资讯平台 科技云报到:AI Agent重塑客服战场,容联云用“1脑+多技能”重新定义客服Agent-安全KER - 安全资讯平台 科技云报到:“联通星罗”Token服务平台正式发布,为OPC创业提供“最佳助攻”-安全KER - 安全资讯平台 当攻击开始“自主决策”,安全体系如何应战?-安全KER - 安全资讯平台 科技云报到:智算千亿赛道向何方?一文读懂信通院《2026智能算力服务研究报告》-安全KER - 安全资讯平台 亿格云完成数亿元B轮融资,加码“人+AI”统一安全治理-安全KER - 安全资讯平台 安全进入“AI自主攻击”时代,瑞数信息如何用AI对抗AI-安全KER - 安全资讯平台 智能体关键年:Agent扎根业务流,AI生产力正在形成-安全KER - 安全资讯平台 深度分析Sorry勒索软件的加密实现与行为特征-安全KER - 安全资讯平台 科技云报到:当AI闯入特教行业,一场颠覆变革正在发生!-安全KER - 安全资讯平台 科技云报到:AI云,逻辑变了吗?-安全KER - 安全资讯平台 工程化实战思维在红队技战术中的应用-安全KER - 安全资讯平台 鸿蒙NEXT应用一键加固——AI Agent助力安全开发-安全KER - 安全资讯平台 科技云报到:AI算力革命,终结云计算20年降价史-安全KER - 安全资讯平台 科技云报到:“龙虾”入笼:为何金融行业不敢“养”?-安全KER - 安全资讯平台 科技云报到:“龙虾”OpenClaw狂欢之下,需要一针清醒剂-安全KER - 安全资讯平台 瑞数信息入选IDC两大AI安全报告,防御OpenClaw小龙虾裸奔危机-安全KER - 安全资讯平台 2026首届汽车安全白帽黑客大会圆满收官,共筑车联网安全新生态-安全KER - 安全资讯平台 Ally WordPress插件高危SQL注入漏洞 威胁40万个网站-安全KER - 安全资讯平台 OpenAI战略调整Sora视频AI将直接接入ChatGPT-安全KER - 安全资讯平台 HPE发布Aruba OS高危漏洞预警 可未授权重置密码-安全KER - 安全资讯平台 能感知自身正在被测试的AI Anthropic关于Claude自我意识的惊人发现-安全KER - 安全资讯平台 GitLab发布紧急安全更新 修复高危XSS与API拒绝服务漏洞-安全KER - 安全资讯平台 Telegram的黑色面 网络罪犯利用机器人API隐秘窃取数据-安全KER - 安全资讯平台 Armadin获1.9亿美元融资 用AI实现自动化红队攻防-安全KER - 安全资讯平台 Splunk修复文件预览功能中的高危RCE漏洞-安全KER - 安全资讯平台 虚假招聘陷阱 微软揭露针对开发者的传染性面试攻击活动-安全KER - 安全资讯平台 可变标签陷阱Xygeni GitHub Action高危漏洞危及CI/CD流水线-安全KER - 安全资讯平台 侧边栏里的间谍假冒AI浏览器插件窃取90万用户数据-安全KER - 安全资讯平台 Kubernetes安全预警Ingress-Nginx注入漏洞可致集群密钥全局泄露-安全KER - 安全资讯平台 Budibase存在高危漏洞 可导致生产环境密钥全面泄露-安全KER - 安全资讯平台
Weaxor勒索软件又添Linux平台变种-安全KER - 安全资讯平台
安全客 · 2026-06-22 · via 安全客-有思想的安全新媒体

01 老家族的新变种

Weaxor勒索软件作为曾经活跃的Mallox勒索软件家族的“品牌重塑”版本,其技术架构与攻击战术均继承了Mallox的隐蔽性与破坏力。根据360安全大脑的监测情报,Weaxor家族自2024年10月首次在国内现身以来,便展现出了极强的渗透能力与适应性。其在2025年更是持续占据国内勒索攻击活跃度榜首,对国内各行业的关键基础设施构成了严峻挑战。
过往的Mallox/Weaxor变种主要聚焦于Windows系统平台,而近期我们则监测到多起该家族针对Linux服务器环境的攻击事件。攻击者开始密集利用国内主流OA系统、Web应用程序的远程代码执行(RCE)漏洞作为跳板,进而进行投毒并加密数据。
鉴于上述情况,本报告将深入剖析Weaxor针对Linux平台的攻击链条、加密机制及勒索手段,旨在通过对该家族技术细节的详尽拆解,为广大运维人员与安全响应团队提供有效的防御参考与处置依据。
图1. 被Weaxor勒索软件加密的Linux文件

02 Linux平台变种技术分析

我们选取了一个典型的Linux系统平台下的Weaxor勒索软件样本进行分析说明。该样本为Linux系统64位可执行文件(ELF64)格式,程序启动时允许通过添加执行参数的方式来指定勒索软件的工作方式。
图2. 勒索软件支持通过参数指定工作方式
该样本详细的参数含义及默认值如下表所示:
表1. 样本执行参数说明

1.环境检测

样本在启动后,会首先检测当前设备CPU所支持的指令集。如果发现当前设备的CPU不支持AVX2指令集,则弹出提示并退出。这主要是因为该指令集主要用于加速高强度的计算任务,而勒索软件又恰恰非常依赖256位的YMM/AVX2指令来进行各种加密、编码以及文件分块与内存拷贝操作。同时一些用于分析的虚拟环境中也不支持AVX2指令集,所以这一检测也可以兼顾一定的“反分析”功能。
这一检测的流程逻辑示意图如下: 
                                                                                         
图3. 样本的指令集检测逻辑示意图
而具体的检测代码如下:
图4. 指令集检测代码
而当设备通过检测,样本开始正式执行后会首先上报受害者信息。
图5. 勒索软件上报受害者信息代码
我们捕获了其样本在分析环境中实际发送的受害者信息数据,抓包内容如下图所示:
图6. 勒索软件实际发送的数据
在发送的数据中,具体的各字段含义及示例如下表:
表2. 数据信息字段含义说明

2.密钥生成

经过分析,该勒索软件用于数据加密的密钥派生流程如下:
图7. 密钥派生流程示意图
勒索软件首先会利用全局随机接口和从/dev/urandom处读取到的随机数进行随机运算,并生成用于加密的ChaCha20算法密钥。
图8. 样本生成随机数并生成ChaCha20密钥
此外,勒索软件中还内置了一份长度为0x20d公钥数据,我们测试的样本中该数据的具体值如下:
A65AD0F345DB4E0EFFE875C3A2E71F42C7129D620FF5C119A9EF55F05185E0FB
该公钥会被用于X25519算法的密钥交换功能:
图9. 利用内置的公钥进行X25519密钥交换
获取到内置公钥后,勒索软件则会通过AES-256-CTR算法加密之前生成的ChaCha20算法密钥。
图10. 通过AES算法加密ChaCha20密钥
完成这些密钥的生成、封装等工序后,勒索软件最终会采用ChaCha20算法对受害设备中的文件及数据进行最终加密。
图11. 利用ChaCha20算法进行加密

3.文件加密

进入勒索软件的文件扫描工作线程,该线程会检测当前目录中是否存在rox.txt标记文件,并基于该文件的内容判断是否需要加密或进行其他特殊处理。
图12. 文件扫描线程检测rox.txt标记文件
在具体的加密过程中,勒索软件会对一些指定格式进行加密。同时也排除了一些路径不进行加密操作。
  • 不加密文件扩展名(系统/UI/安装类)
表3. 不加密文件扩展名
  • 加密的文件扩展名
这部分扩展名分为三部分,分别是常见的包文件、数据库文件以及虚拟机文件。
表4. 加密文件扩展名
这三份加密扩展名列表中出现的是高价值分类命中表,而通常的文档文件扩展名,如:docx、.pdf、.txt 等均不在上述列表中,仍然会进行默认加密,并非不加密。
加密文件后,勒索软件则会将加密过的密钥信息附加到已被加密的文件尾部。
图13. 向加密文件尾部写入附加数据
相关附加数据的结构示意图如下所示。
图14. 附件数据结构示意图
此外,此次捕获到的新版勒索软件相较我们此前捕获到的旧版样本,其附加到加密文件尾部的数据也略有差异。
图15. 新旧版本附加数据区别对比图

4.收尾工作

在完成加密后,会生成一个rox.txt文件,该文件的内容包含当前设备的IP地址、用户名、处理器等关键信息。
图16. 加密后生成的rox.txt文件内容
之后样本还会上报受害用户的信息。
图17. 勒索软件上报用户信息
最终,释放一份文件名为“RECOVERY INFORMATION.txt”的勒索信到本地,用于通知受害用户进行赎金支付操作。需要特别说明的是,勒索信中的“Your key”为感染开始时生成的32字节随机Victim ID所转成的64位大写十六进制字符串。
图18. 释放勒索信

03 安全防护建议

针对Weaxor勒索软件在Linux环境下的攻击特征,建议采取“纵深防御、主动监测、备份先行”的综合防护策略,具体建议如下:
1.强化身份认证与访问控制
  • 禁用弱口令与暴力破解防护
    严格执行强密码策略,并配置SSH登录限制,建议禁用root直接远程登录,改用非特权用户登录后通过sudo提权。
  • 部署多因素认证(MFA)
    针对所有远程访问接口(如SSH、VPN、远程桌面等)强制启用多因素认证,防止凭据泄露导致的非法入侵。
2.漏洞管理与系统加固
  • 及时修补漏洞
    重点排查Web应用(如Tomcat、WebLogic、Nginx等)及数据库系统的已知高危漏洞,确保补丁及时更新。
  • 最小权限原则
    严格限制Web服务及其他中间件的运行权限,避免因服务漏洞导致攻击者获取系统最高权限。
3.构建全方位的监测与响应体系
  • 部署EDR/XDR防护
    在服务器端部署终端检测与响应(EDR)系统,重点监控异常进程启动、敏感文件批量读写、加密API调用等行为,实现对勒索行为的实时阻断。
  • 日志审计与流量分析
    开启关键系统的审计日志,并结合流量分析工具监控内网横向移动行为,一旦发现异常连接或扫描行为,立即触发应急响应流程。
4.实施“3-2-1”数据备份策略
离线备份是最后防线。务必建立异地、离线的数据备份机制,确保在遭受勒索攻击导致系统瘫痪时,能够通过备份数据快速恢复业务,避免支付赎金带来的合规与安全风险。
5.安全意识培养
定期开展针对运维与开发人员的安全意识培训,防范社会工程学攻击,提升对钓鱼邮件、恶意脚本的辨识能力。
IOCs
SHA256
76ec12d92fcc371c0d1b7eb168edd50a6f08e3f516cc19fe45e3aff353e54933
C2
hxxp://193.143.1[.]139/Ujdu8jjooue/biweax.php
Tor
http://weaxorpemwzoxg5cdvvfd77p3qczkxqii37ww4foo2n4jcft3mytbpyd[.]onion/lsaHqOhaJLOyrWSPvtJajdzqrftqzOlt/{id}
邮箱
Datahelper#cyberfear.com