360勒索预警：广大政企机构警惕！Weaxor勒索病毒盯上OA办公系统

近期，360安全智能体监测数据显示，Weaxor勒索软件攻击呈爆发式增长态势，近一个月内接收相关案例超百例，占比国内勒索病毒传播量一半以上。该家族后缀为.wxx，实为Mallox勒索软件迭代版本，自2024年10月现身国内后，2025年已长期占据本土勒索攻击榜首。

当前，勒索软件攻击愈发复杂和精密，多采用多阶段复合攻击链，结合数据库漏洞利用、无文件攻击等技术，实现持久化渗透，Weaxor攻击案例的激增正印证了这一趋势。
借用主流OA系统实施入侵
显著提升攻击成功率与隐蔽性

360数字安全集团捕获的一起样本案例显示，其攻击载荷设计尤为典型。攻击者将恶意代码拆解为防御规避模块与ShellCode解码模块构成的双重架构，通过载荷间的协同作业，显著提高了攻击的成功率和隐蔽性。
值得注意的是，本轮国内攻击中，利用主流OA系统实施入侵已成常态。在360捕获的样本案例中，攻击者正是通过某企业OA系统突破内网防线，构建起包含漏洞利用、权限维持、勒索部署的完整攻击链。这种将业务系统作为跳板的技术路径，使攻击更具迷惑性和破坏力。

针对OA系统的入侵进程链
攻击者入侵成功后即刻执行PowerShell命令，下载伪装为beta文件的混淆型PowerShell脚本。360经多轮逆向分析解密发现，该脚本实为第一阶段内存载荷。该恶意载荷通过HTTP协议与黑客部署的C2服务器建立隐蔽信道后，实现数据窃取与Weaxor勒索软件下发。
对这一段载荷的ShellCode代码进行功能解析，发现其会进行如下四个步骤的工作。首阶段在内存中动态地查找并获取所需的Windows API函数地址，利用wininet.dll库的功能连接到硬编码的C2服务器，模拟浏览器请求伪装成JS文件的加密shellcode，并在内存中直接注入执行；次阶段载荷经多层解密后，最终在受害者设备内存空间释放经过混淆处理的PE文件，完成渗透-驻留-勒索的完整攻击闭环。

投放Weaxor勒索软件
360在进一步对被释放出的样本进行分析，发现其启动后首先会进行一些准备工作，如更改电源方案为高性能模式，以加快加密速度，同步还会实施系统提权操作。
此外，其还会自动识别并终止针对俄语、白俄罗斯语、乌克兰语、土库曼语、哈萨克语等俄语区设备的攻击链；执行防御规避阶段删除关键注册表项与卷影副本，彻底破坏系统恢复能力；最终在加密前还会通过POST的方法将一些用户信息发送到自己的C2服务器上，以便进行数据统计。
在完成环境适配后，Weaxor勒索软件首先排除系统关键目录和特定扩展名文件，避免重复加密损耗性能。在加密过程中，其加密引擎采用双重加密机制，先使用ChaCha20流密码加密文件数据，再通过AES算法对ChaCha20的密钥进行加密保护。

加/解密系统构架

数据与密钥流向图
加密的最后阶段，勒索软件会向文件数据尾部追加加密标识符，防止自身被二次运行导致重复加密，最终被加密的文件均会被添加.wxx后缀。
在完成文件加密后，Weaxor勒索软件会在所有受感染目录中植入名为FILE RECOVERY.txt的勒索信，向受害者索要相当于8000至14000元人民币的虚拟货币赎金，且第三方数据恢复商常在此价格基础上加收手续费。

但强烈建议广大政企机构拒绝支付，因为未修复的系统漏洞和安全隐患将使设备持续暴露于风险之中，即使支付赎金恢复数据，也极可能遭遇二次加密甚至多次反复攻击，形成恶性循环。
360打造体系化解决方案
构建全流程勒索防护能力
作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360推出基于安全大模型赋能的勒索病毒防护解决方案，能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，实现多方位、全流程、体系化、智能化的勒索防护。
针对Weaxor勒索病毒攻击，360勒索病毒防护解决方案打造了多项定制化的防护功能。
在初始入侵阶段，通过Web服务防护与黑客入侵拦截模块能够有效阻断勒索软件投毒路径；