Weaxor勒索软件又添Linux平台变种

老家族的新变种

Weaxor勒索软件作为曾经活跃的Mallox勒索软件家族的“品牌重塑”版本，其技术架构与攻击战术均继承了Mallox的隐蔽性与破坏力。根据360安全大脑的监测情报，Weaxor家族自2024年10月首次在国内现身以来，便展现出了极强的渗透能力与适应性。其在2025年更是持续占据国内勒索攻击活跃度榜首，对国内各行业的关键基础设施构成了严峻挑战。

过往的Mallox/Weaxor变种主要聚焦于Windows系统平台，而近期我们则监测到多起该家族针对Linux服务器环境的攻击事件。攻击者开始密集利用国内主流OA系统、web应用程序的远程代码执行（RCE）漏洞作为跳板，进而进行投毒并加密数据。

鉴于上述情况，本报告将深入剖析Weaxor针对Linux平台的攻击链条、加密机制及勒索手段，旨在通过对该家族技术细节的详尽拆解，为广大运维人员与安全响应团队提供有效的防御参考与处置依据。

图1. 被Weaxor勒索软件加密的Linux文件

Linux平台变种技术分析

我们选取了一个典型的Linux系统平台下的Weaxor勒索软件样本进行分析说明。该样本为Linux系统64位可执行文件（ELF64）格式，程序启动时允许通过添加执行参数的方式来指定勒索软件的工作方式。

图2. 勒索软件支持通过参数指定工作方式 

该样本详细的参数含义及默认值如下表所示：

表1. 样本执行参数说明 

环境检测

样本在启动后，会首先检测当前设备CPU所支持的指令集。如果发现当前设备的CPU不支持AVX2指令集，则弹出提示并退出。这主要是因为该指令集主要用于加速高强度的计算任务，而勒索软件又恰恰非常依赖256位的YMM/AVX2指令来进行各种加密、编码以及文件分块与内存拷贝操作。同时一些用于分析的虚拟环境中也不支持AVX2指令集，所以这一检测也可以兼顾一定的“反分析”功能。

这一检测的流程逻辑示意图如下：

图3. 样本的指令集检测逻辑示意图

而具体的检测代码如下：

图4. 指令集检测代码

而当设备通过检测，样本开始正式执行后会首先上报受害者信息。

图5. 勒索软件上报受害者信息代码

我们捕获了其样本在分析环境中实际发送的受害者信息数据，抓包内容如下图所示：

图6. 勒索软件实际发送的数据 

在发送的数据中，具体的各字段含义及示例如下表：

表2. 数据信息字段含义说明

密钥生成

经过分析，该勒索软件用于数据加密的密钥派生流程如下：

图7. 密钥派生流程示意图

勒索软件首先会利用全局随机接口和从/dev/urandom处读取到的随机数进行随机运算，并生成用于加密的ChaCha20算法密钥。

图8. 样本生成随机数并生成ChaCha20密钥

此外，勒索软件中还内置了一份长度为0x20d公钥数据，我们测试的样本中该数据的具体值如下：

A65AD0F345DB4E0EFFE875C3A2E71F42C7129D620FF5C119A9EF55F05185E0FB

该公钥会被用于X25519算法的密钥交换功能：

图9. 利用内置的公钥进行X25519密钥交换

获取到内置公钥后，勒索软件则会通过AES-256-CTR算法加密之前生成的ChaCha20算法密钥。

图10. 通过AES算法加密ChaCha20密钥 

完成这些密钥的生成、封装等工序后，勒索软件最终会采用ChaCha20算法对受害设备中的文件及数据进行最终加密。

图11. 利用ChaCha20算法进行加密

文件加密

进入勒索软件的文件扫描工作线程，该线程会检测当前目录中是否存在rox.txt标记文件，并基于该文件的内容判断是否需要加密或进行其他特殊处理。

图12. 文件扫描线程检测rox.txt标记文件 

在具体的加密过程中，勒索软件会对一些指定格式进行加密。同时也排除了一些路径不进行加密操作。

不加密文件扩展名（系统/UI/安装类）

表3. 不加密文件扩展名 

加密的文件扩展名

这部分扩展名分为三部分，分别是常见的包文件、数据库文件以及虚拟机文件。

表4. 加密文件扩展名

这三份加密扩展名列表中出现的是高价值分类命中表，而通常的文档文件扩展名，如：docx、.pdf、.txt 等均不在上述列表中，仍然会进行默认加密，并非不加密。

加密文件后，勒索软件则会将加密过的密钥信息附加到已被加密的文件尾部。

图13. 向加密文件尾部写入附加数据

相关附加数据的结构示意图如下所示。

图14. 附件数据结构示意图

此外，此次捕获到的新版勒索软件相较我们此前捕获到的旧版样本，其附加到加密文件尾部的数据也略有差异。

图15. 新旧版本附加数据区别对比图

收尾工作

在完成加密后，会生成一个rox.txt文件，该文件的内容包含当前设备的IP地址、用户名、处理器等关键信息。

图16. 加密后生成的rox.txt文件内容 

之后样本还会上报受害用户的信息。

图17. 勒索软件上报用户信息

最终，释放一份文件名为“RECOVERY INFORMATION.txt”的勒索信到本地，用于通知受害用户进行赎金支付操作。需要特别说明的是，勒索信中的“Your key”为感染开始时生成的32字节随机Victim ID所转成的64位大写十六进制字符串。

图18. 释放勒索信 

安全防护建议

针对Weaxor勒索软件在Linux环境下的攻击特征，建议采取“纵深防御、主动监测、备份先行”的综合防护策略，具体建议如下：

l 强化身份认证与访问控制

n 禁用弱口令与暴力破解防护
严格执行强密码策略，并配置SSH登录限制，建议禁用root直接远程登录，改用非特权用户登录后通过sudo提权。

n 部署多因素认证（MFA）
针对所有远程访问接口（如SSH、VPN、远程桌面等）强制启用多因素认证，防止凭据泄露导致的非法入侵。

l 漏洞管理与系统加固

n 及时修补漏洞
重点排查Web应用（如Tomcat、WebLogic、Nginx等）及数据库系统的已知高危漏洞，确保补丁及时更新。

n 最小权限原则
严格限制Web服务及其他中间件的运行权限，避免因服务漏洞导致攻击者获取系统最高权限。

l 构建全方位的监测与响应体系

n 部署EDR/XDR防护
在服务器端部署终端检测与响应（EDR）系统，重点监控异常进程启动、敏感文件批量读写、加密API调用等行为，实现对勒索行为的实时阻断。

n 日志审计与流量分析
开启关键系统的审计日志，并结合流量分析工具监控内网横向移动行为，一旦发现异常连接或扫描行为，立即触发应急响应流程。

l 实施“3-2-1”数据备份策略
离线备份是最后防线。务必建立异地、离线的数据备份机制，确保在遭受勒索攻击导致系统瘫痪时，能够通过备份数据快速恢复业务，避免支付赎金带来的合规与安全风险。

l 安全意识培养
定期开展针对运维与开发人员的安全意识培训，防范社会工程学攻击，提升对钓鱼邮件、恶意脚本的辨识能力。

IOCs

SHA256

76ec12d92fcc371c0d1b7eb168edd50a6f08e3f516cc19fe45e3aff353e54933

C2

hxxp://193.143.1[.]139/Ujdu8jjooue/biweax.php

Tor

http://weaxorpemwzoxg5cdvvfd77p3qczkxqii37ww4foo2n4jcft3mytbpyd[.]onion/lsaHqOhaJLOyrWSPvtJajdzqrftqzOlt/{id}

邮箱

Datahelper#cyberfear.com