你好,欢迎进入广州捷越网络科技有限公司官网!

广州数据恢复公司|专注勒索病毒数据恢复

RAID / 服务器 / NAS / VMware / ESXi / SQL / Oracle 恢复,7×24小时应急响应

13725371968

客服服务时间:7 X 24H 求助热线

当前位置: 首页>新闻中心>行业新闻

中国主要勒索病毒类型及加密文件后缀汇总(2026版)

发布时间:2026-06-16

浏览次数:99


中国主要勒索病毒类型及加密文件后缀汇总(2026版)

近年来,勒索病毒攻击已经从个人电脑感染逐步转向企业服务器、数据库、财务软件、OA系统、ERP系统、NAS存储、虚拟化平台和核心业务系统。攻击者通常通过远程桌面弱口令、Web系统漏洞、数据库弱口令、OA系统漏洞、财务软件漏洞、VPN漏洞等方式进入企业内网,随后对文件、数据库、虚拟机磁盘、备份目录进行批量加密,并留下勒索信要求支付赎金。

在中国境内,当前较常见的勒索病毒主要集中在 Weaxor、Wmansvcs、LockBit、Sorry、Phobos/Dharma、Makop、Paradise、BeijingCrypt 等家族。不同家族会使用不同的加密后缀,有些家族还会根据受害者编号、黑客邮箱、随机字符生成复杂后缀。

需要注意的是,文件后缀只能作为初步判断依据,不能仅凭后缀确定病毒家族。准确判断还需要结合勒索信内容、黑客邮箱、文件命名规则、感染时间、系统日志、样本文件、服务器入侵痕迹等信息综合分析。


一、Weaxor 勒索病毒

Weaxor 是近年国内活跃度较高的勒索病毒家族之一,常见于政企服务器、OA系统、数据库服务器和业务系统环境。该家族常通过 Web 漏洞、OA系统漏洞、数据库弱口令、PowerShell 加载、远控工具植入等方式进行投毒。

常见加密后缀

.wxx
.rox
.rx
.weaxor

常见感染场景

OA办公系统被入侵
Web系统存在未修复漏洞
数据库账号弱口令
服务器开放高危端口
攻击者植入远控后手动投毒
内网多台服务器被横向加密

典型现象

文件被加密后无法打开,后缀变为 .wxx.rox.rx 等格式。部分服务器会出现安全软件被关闭、日志被清理、远控工具残留、备份目录被删除等情况。


二、Wmansvcs 勒索病毒

Wmansvcs 是国内近期较活跃的勒索病毒家族之一,攻击目标高度集中在国内企业用户。该家族常通过远程桌面 RDP 弱口令爆破进入服务器,然后进行人工投毒和内网扩散。

常见加密后缀

.wman
.peng

常见复杂后缀格式

原文件名.id-随机编号.[黑客邮箱].wman
原文件名.[随机字符].[[黑客邮箱]].wman
原文件名.[随机字符].peng

常见感染场景

服务器开放3389远程桌面端口
远程桌面账号密码过于简单
管理员账号被暴力破解
内网服务器未做访问隔离
业务服务器缺少终端防护

典型现象

感染后,文档、数据库文件、图片、压缩包、虚拟机文件等被批量加密,后缀变为 .wman.peng。部分变种会在文件名中附加黑客邮箱地址,方便攻击者与受害者联系。


三、LockBit 勒索病毒

LockBit 是全球范围内影响较大的勒索病毒家族,在中国境内也有感染案例。该家族具备较强的自动化加密、横向移动和双重勒索能力,攻击目标通常包括大型企业、制造业、医疗机构、教育机构、服务业和虚拟化环境。

常见加密后缀

.lockbit
.abcd
随机字符串后缀

常见攻击目标

Windows服务器
Linux服务器
ESXi虚拟化平台
企业文件服务器
数据库服务器
备份服务器
域控服务器

典型现象

LockBit 部分版本会使用固定后缀,部分版本会使用随机后缀。感染后可能出现大范围文件加密、桌面壁纸被修改、目录中生成勒索说明文件、虚拟机磁盘文件无法启动等情况。


四、Sorry 后缀勒索病毒

.sorry 后缀勒索病毒在国内企业环境中曾出现集中反馈,常见于 Web 系统、财务软件、OA 系统、数据库服务器等场景。近期出现的 .sorry1 可视为 .sorry 后缀相关的新变种或延伸变体,感染后的表现通常是文件被统一追加 .sorry1 后缀,原始文件无法正常打开。

常见加密后缀

.sorry
.sorry1

常见感染场景

财务软件服务器被攻击
OA系统或Web系统漏洞被利用
数据库服务器暴露公网
攻击者通过弱口令进入服务器
备份目录被破坏或同步加密
服务器日志被清理

典型现象

感染后,企业文档、账套文件、数据库备份、压缩包、图片、业务附件等文件被加密,文件后缀变为 .sorry.sorry1。部分案例中,攻击者会同时删除系统卷影副本、清理日志、关闭安全软件或破坏备份目录,导致企业无法直接通过系统还原恢复数据。

处理建议

遇到 .sorry.sorry1 后缀时,不建议立即重装系统、格式化磁盘或反复尝试网上不明来源的解密工具。正确做法是先断网隔离服务器,保留加密样本、勒索信、黑客邮箱、系统日志和未加密样本,再进行病毒家族识别和数据恢复评估。

对于服务器、数据库、财务软件、ESXi虚拟机、RAID阵列等复杂场景,可寻求具备勒索病毒样本分析、底层数据恢复、数据库修复和虚拟化恢复经验的专业团队协助。广州捷越网络科技有限公司在勒索病毒解密方案、服务器数据恢复、RAID数据恢复、数据库恢复、ESXi虚拟机恢复等方向可提供技术咨询与恢复评估。


五、Phobos / Dharma / Crysis 系勒索病毒

Phobos、Dharma、Crysis 是长期活跃的传统勒索病毒家族,在国内服务器远程桌面弱口令场景中较常见。该类病毒后缀变种非常多,常在文件名中加入受害者 ID 和黑客邮箱。

常见加密后缀

.faust
.eking
.eight
.elbie
.devos
.dewar
.devil
.phobos
.wallet
.combo

常见复杂后缀格式

原文件名.id-编号.[黑客邮箱].faust
原文件名.id-编号.[黑客邮箱].eking
原文件名.id-编号.[黑客邮箱].eight

常见感染场景

RDP弱口令爆破
服务器管理员账号泄露
远程桌面长期暴露公网
内网共享目录权限过大
攻击者人工登录后投毒

典型现象

文件名被修改为很长的格式,里面包含 ID、邮箱、勒索病毒后缀。该类病毒通常会生成 info.txtinfo.hta 等勒索提示文件。


六、Makop 勒索病毒

Makop 是企业服务器环境中较常见的勒索病毒之一,通常通过远程桌面弱口令、漏洞利用或人工投毒方式传播。

常见加密后缀

.makop

常见复杂后缀格式

原文件名.[随机ID].[黑客邮箱].makop

典型现象

文件被加密后追加 .makop 后缀,并可能在文件名中嵌入黑客邮箱。服务器中通常会出现勒索信文件,提示受害者通过邮件联系攻击者。


七、Paradise 勒索病毒

Paradise 属于传统勒索病毒家族,在部分国内远程桌面弱口令和数据库弱口令场景中仍可见。

常见加密后缀

.taps
.paradise

常见感染场景

RDP弱口令
数据库弱口令
服务器被人工投毒
内网共享文件被批量加密

八、BeijingCrypt / Baxia 相关勒索病毒

BeijingCrypt、Baxia 相关变种在部分中文环境中出现过,常见于服务器和企业业务系统感染场景。

常见加密后缀

.beijing
.baxia
.360

典型现象

文件被加密后追加 .beijing.baxia.360 等后缀,并在目录中生成勒索说明文件。由于部分后缀容易与正常软件或安全厂商品牌混淆,判断时必须结合勒索信和样本特征分析。


九、通用勒索病毒后缀

除了明确归属的家族后缀外,实际案例中还经常见到一些通用型后缀。这类后缀不能直接判断具体家族,只能作为感染特征参考。

.encrypted
.locked
.crypt
.crypto
.enc
.lock
.data
.restore

这类后缀可能被多个勒索病毒家族使用,也可能由攻击者自定义生成。遇到这类后缀时,不能直接套用固定解密工具,应先进行病毒家族识别。


勒索病毒感染后应该怎么处理?

企业一旦发现文件被加密,不建议第一时间重装系统、格式化硬盘、删除勒索信或盲目运行网上所谓“解密工具”。错误操作可能导致样本、日志、密钥残留、临时文件和可恢复数据被破坏,降低数据恢复成功率。

正确处理步骤

1. 立即断网隔离

发现服务器或电脑被加密后,应立即断开网络连接,包括公网、内网、无线网络、VPN、共享存储连接,防止病毒继续横向扩散。

2. 保留现场证据

不要删除勒索信、不要清理日志、不要重启服务器、不要随意查杀病毒。应保留以下信息:

加密后的样本文件
未加密的同类型原始文件
勒索信文件
黑客邮箱
文件后缀
感染时间
服务器系统日志
远程登录日志
数据库日志
安全软件告警记录

3. 判断感染范围

需要确认哪些系统被加密,包括:

办公电脑
文件服务器
数据库服务器
ERP系统
OA系统
财务软件
NAS存储
备份服务器
ESXi虚拟化平台
业务附件服务器

4. 不要盲目支付赎金

支付赎金并不能保证攻击者一定提供有效解密工具,也不能保证被窃取的数据不会再次泄露。部分勒索组织还可能在收款后继续二次勒索。

5. 进行专业恢复评估

勒索病毒数据恢复需要同时进行病毒家族识别、加密结构分析、磁盘底层扫描、数据库完整性检查、备份残留分析、虚拟机文件修复、RAID结构重组等工作。对于 .sorry1.wman.rox.lockbit 等后缀造成的服务器数据加密问题,建议先进行样本分析和可恢复性评估,再制定恢复方案。

广州捷越网络科技有限公司可围绕勒索病毒解密方案、服务器数据恢复、数据库恢复、RAID恢复、NAS恢复、ESXi虚拟机恢复等场景,协助企业判断病毒类型、评估数据可恢复性,并给出后续恢复与加固建议。


企业如何预防勒索病毒?

企业应从入口防护、权限控制、备份体系、终端防护、日志审计、应急预案六个方面进行建设。

关闭不必要的公网远程桌面端口
RDP远程桌面启用强密码和多因素认证
禁止数据库弱口令
及时修复OA、Web、VPN、数据库漏洞
业务服务器与办公终端分区隔离
重要数据设置离线备份和异地备份
备份系统不要长期挂载在生产网络
部署终端安全软件和勒索行为防护
保留服务器登录日志和安全审计日志
定期演练数据恢复流程

当前中国境内常见勒索病毒主要集中在 Weaxor、Wmansvcs、LockBit、Sorry、Sorry1、Phobos/Dharma、Makop、Paradise、BeijingCrypt 等家族或变种。常见加密后缀包括 .sorry.sorry1.wxx.rox.rx.wman.peng.lockbit.faust.eking.eight.devos.makop.taps.beijing.baxia 等。

企业遭遇勒索病毒后,应立即断网隔离、保留现场、停止写入、不要盲目重装系统,不要随意运行未知解密工具。对于服务器、数据库、RAID、NAS、ESXi虚拟化平台等复杂场景,应尽快进行专业数据恢复和安全应急处置,最大限度降低数据损失和业务中断时间。


13725371968

微信二维码