国内近期活跃勒索病毒家族威胁分析:Weaxor、Wmansvcs、Sorry
2026年上半年,国内勒索软件威胁持续攀升。根据360数字安全集团发布的月度报告,Weaxor、Wmansvcs、Sorry三大家族长期占据国内勒索软件感染占比前三名。以下逐一介绍各家族的攻击特征、目标企业及薄弱点。
一、Weaxor 勒索家族
Weaxor 是曾经活跃的Mallox 勒索软件家族的“品牌重塑”版本,其技术架构与攻击战术均继承了 Mallox 的隐蔽性与破坏力。该家族自2024年10月首次在国内现身以来便展现出极强的渗透能力,2025年持续占据国内勒索攻击活跃度榜首。
攻击核心表现:
1. 跨平台攻击能力持续扩张
Weaxor最初主要聚焦Windows系统平台,2026年已新增针对Linux服务器平台的变种。该Linux变种为64位ELF可执行文件,支持通过参数指定加密线程数、文件加密分块大小、运行模式等,并可选择普通文件加密模式或VM/虚拟磁盘加密模式。样本启动后会首先检测CPU是否支持AVX2指令集——不支持的设备直接退出,既保障加密效率,也兼顾“反分析”功能。
2. 漏洞利用驱动的攻击模式
攻击者密集利用国内主流OA系统、Web应用程序的远程代码执行(RCE)漏洞作为跳板,进行投毒并加密数据。在Windows平台下,Weaxor持续通过多轮更换远程下发的BYOVD(自带易受攻击的驱动程序)以对抗安全软件。该家族还迅速将开源情报披露的联想漏洞驱动武器化发起攻击。
3. 双层加密架构
Weaxor采用复杂的双层加密架构,主要涉及ChaCha20流密码与AES对称加密的组合,部分变种甚至引入RSA非对称加密,极大地增加了数据恢复难度。
攻击目标:
Weaxor 的行业覆盖范围广泛,重点攻击制造业、医疗保健、商业服务、零售、建筑业和能源等行业。典型案例如下:
- 华东某三甲医院因未及时打补丁,遭Weaxor勒索软件攻击,导致120急救系统停摆4小时,37台手术延期,损失超千万元。
- 烟台某制造企业遭AI智能体辅助的勒索软件攻击,72小时内系统被加密、备份被删除,损失5000万元。
企业薄弱点:
Weaxor 攻击者利用未受保护的Microsoft SQL(MSSQL)服务器、远程桌面协议(RDP)暴力破解以及特定漏洞(如CVE-2024-51324)作为主要初始访问向量。企业的核心薄弱点包括:数据库服务器缺乏有效防护、OA及Web应用未及时修补高危漏洞、终端安全软件缺失或防护未开启。
二、Wmansvcs勒索家族
自2025年6月首次现身以来,Wmansvcs 勒索软件迅速跻身国内最为活跃的勒索软件之一,感染量长期稳居前二。该家族目前主要演化出“.peng”与“.wman”两个后缀分支。
攻击核心表现
1. 高度聚焦国内用户的定向攻击
Wmansvcs展现出了高度明确的攻击意图——高度聚焦国内用户,通过远程桌面协议(RDP)弱口令手段,对特定IP进行长期定向投毒与横向渗透。入侵一台设备后,再向内网其他机器扩散。
2. 高效的“稀疏加密”策略
Wmansvcs采用Rust语言开发,支持对本地计算机、网络计算机、域计算机环境进行加密。文件加密采用ChaCha20算法:当文件小于等于512KB时进行全文件加密,大于512KB则只加密文件的前512KB内容。“.peng”分支对超过一定大小的文件采用分块加密,仅加密文件头部的64KB。
这种“稀疏加密”策略目的明确:加密和解密速度极快,尤其对于服务器上的数据库类大文件几乎是瞬间完成;同时通过加密文件头(确保文件“打不开”)、中间块(确保文件“看不全”)、文件尾(确保文件“无法索引/无法跳转”)三个关键部位,以最小的工作量实现最大的破坏效果。
3. 勒索信与壁纸篡改
加密完成后,Wmansvcs会释放名为“
DECRYPTION_INFORMATION.html”的勒索信,并修改系统桌面壁纸。
攻击目标:
Wmansvcs 主要针对国内各类企业,尤其是未部署有效终端安全防护产品的组织。该家族通过RDP弱口令进行扩散,攻击目标涵盖制造业、商贸、服务业等广泛行业。
企业薄弱点:
Wmansvcs攻击的核心薄弱点十分明确:远程桌面协议(RDP)弱口令——这是该家族最主要的入侵通道。被感染的设备均是内部网络中未部署有效终端安全防护产品的设备。360监测数据显示,大量企业网络中存在缺乏基础防护的“裸奔”设备,致使攻击者无需绕过安全软件而仅凭暴力破解即可轻松获利。
三、Sorry 勒索家族
Sorry 勒索软件自2026年3月首次爆发以来,快速成长为国内头部高危勒索软件家族。该家族被确认为与TellYouThePass家族存在较强关联的新变种。TellYouThePass家族以热衷于利用“当红”漏洞进行批量传播著称,曾利用用友NC漏洞、Apache Log4j RCE(CVE-2021-44228)、ActiveMQ RCE(CVE-2023-46604)等高危漏洞实施大规模攻击。
攻击核心表现:
1. 跨平台批量自动化攻击
Sorry家族覆盖Windows与Linux双平台。在Linux平台,主要利用cPanel认证绕过漏洞(CVE-2026-41940)大肆传播。该漏洞影响2014年3月4日发布的cPanel 11.42至2026年5月1日修复版本之间的所有版本。攻击者在漏洞披露后48小时内即开始大规模利用。截至2026年4月30日,全球已有超过44,000个IP地址被入侵,其中7,135个确认为cPanel或WHM实例。
在Windows平台,Sorry主要利用Borland Socket Server组件漏洞进行传播。该组件漏洞影响了国内多个行业头部厂商的中小微企业管理软件。
2. 三层混合加密架构
Sorry变种采用复杂的三层混合加密架构,可能采用“高效对称算法加密文件+非对称算法封装密钥”的组合模式,密钥管理结构复杂,疑似存在多层封装。加密后的文件结构固定可识别,包含Magic头部、CHUNK长度值、RSA封装块等。
3. 完整的攻击链
Sorry采用“漏洞自动化批量投放”策略,通过扫描互联网侧暴露的企业服务组件,利用已知高危RCE漏洞获取远程代码执行能力。攻击成功后立即触发远程命令拉取下一阶段载荷,全程自动化,无需人工干预。勒索主程序以MSI安装包形式封装,托管于攻击者控制的阿里云OSS存储桶中,利用合法云存储平台托管恶意载荷以规避安全过滤。执行后首要动作是定向停止Microsoft SQL Server及相关数据库服务,以确保数据库文件可被完整加密。
攻击目标:
Sorry 的 Windows 版本在国内主要影响医药、医疗器械、中小商贸企业,以及其他各类中小微企业。Sorry 勒索软件中招用户高度集中在财务软件使用者。该病毒主要利用老旧 ERP 系统或 OA 系统存在的弱口令或 Nday 漏洞,对部署核心业务系统的服务器发起精准打击,案例包括广东某连锁药店(管家*系统)、上海某医疗器械外贸企业(*蝶 ERP)等。
企业薄弱点:
Sorry 攻击的核心薄弱点包括:
- 老旧软件未及时更新
- 企业对外暴露的、未修补的高危漏洞:包括cPanel认证绕过漏洞(CVE-2026-41940)、Borland Socket Server组件漏洞等。
- 核心业务系统(OA、ERP)缺乏有效防护:这些系统往往部署在互联网侧且未及时修补漏洞。
总结:共同的薄弱点与防护建议
综合三大活跃勒索家族的攻击特征,企业面临的共同薄弱点主要集中在以下方面:
- 基础安全防护严重缺失:360监测数据显示,遭勒索攻击的设备中,未安装任何安全软件的占比长期高达58%至61%。大量企业在被攻击时处于事实上的“裸奔”状态。
- 远程访问通道安全性不足:RDP弱口令是Wmansvcs的主要入侵途径,也是众多勒索攻击的通用入口。
- 漏洞修补滞后:无论是Weaxor利用的OA/Web应用RCE漏洞、Sorry利用的cPanel认证绕过漏洞,还是Borland Socket Server等老旧组件漏洞,根源都在于未及时修补已知高危漏洞。
- 老旧软件长期服役:大量企业仍在运行已停止维护的软件版本,成为勒索攻击的突破口。
- 缺乏纵深防御体系:多数企业仅配置基础杀毒软件,缺乏漏洞巡检、身份管控、网络隔离等纵深防护措施。