发布时间:2026-06-16
浏览次数:99
近年来,勒索病毒攻击已经从个人电脑感染逐步转向企业服务器、数据库、财务软件、OA系统、ERP系统、NAS存储、虚拟化平台和核心业务系统。攻击者通常通过远程桌面弱口令、Web系统漏洞、数据库弱口令、OA系统漏洞、财务软件漏洞、VPN漏洞等方式进入企业内网,随后对文件、数据库、虚拟机磁盘、备份目录进行批量加密,并留下勒索信要求支付赎金。
在中国境内,当前较常见的勒索病毒主要集中在 Weaxor、Wmansvcs、LockBit、Sorry、Phobos/Dharma、Makop、Paradise、BeijingCrypt 等家族。不同家族会使用不同的加密后缀,有些家族还会根据受害者编号、黑客邮箱、随机字符生成复杂后缀。
需要注意的是,文件后缀只能作为初步判断依据,不能仅凭后缀确定病毒家族。准确判断还需要结合勒索信内容、黑客邮箱、文件命名规则、感染时间、系统日志、样本文件、服务器入侵痕迹等信息综合分析。
Weaxor 是近年国内活跃度较高的勒索病毒家族之一,常见于政企服务器、OA系统、数据库服务器和业务系统环境。该家族常通过 Web 漏洞、OA系统漏洞、数据库弱口令、PowerShell 加载、远控工具植入等方式进行投毒。
.wxx .rox .rx .weaxor
OA办公系统被入侵 Web系统存在未修复漏洞 数据库账号弱口令 服务器开放高危端口 攻击者植入远控后手动投毒 内网多台服务器被横向加密
文件被加密后无法打开,后缀变为 .wxx、.rox、.rx 等格式。部分服务器会出现安全软件被关闭、日志被清理、远控工具残留、备份目录被删除等情况。
Wmansvcs 是国内近期较活跃的勒索病毒家族之一,攻击目标高度集中在国内企业用户。该家族常通过远程桌面 RDP 弱口令爆破进入服务器,然后进行人工投毒和内网扩散。
.wman .peng
原文件名.id-随机编号.[黑客邮箱].wman 原文件名.[随机字符].[[黑客邮箱]].wman 原文件名.[随机字符].peng
服务器开放3389远程桌面端口 远程桌面账号密码过于简单 管理员账号被暴力破解 内网服务器未做访问隔离 业务服务器缺少终端防护
感染后,文档、数据库文件、图片、压缩包、虚拟机文件等被批量加密,后缀变为 .wman 或 .peng。部分变种会在文件名中附加黑客邮箱地址,方便攻击者与受害者联系。
LockBit 是全球范围内影响较大的勒索病毒家族,在中国境内也有感染案例。该家族具备较强的自动化加密、横向移动和双重勒索能力,攻击目标通常包括大型企业、制造业、医疗机构、教育机构、服务业和虚拟化环境。
.lockbit .abcd 随机字符串后缀
Windows服务器 Linux服务器 ESXi虚拟化平台 企业文件服务器 数据库服务器 备份服务器 域控服务器
LockBit 部分版本会使用固定后缀,部分版本会使用随机后缀。感染后可能出现大范围文件加密、桌面壁纸被修改、目录中生成勒索说明文件、虚拟机磁盘文件无法启动等情况。
.sorry 后缀勒索病毒在国内企业环境中曾出现集中反馈,常见于 Web 系统、财务软件、OA 系统、数据库服务器等场景。近期出现的 .sorry1 可视为 .sorry 后缀相关的新变种或延伸变体,感染后的表现通常是文件被统一追加 .sorry1 后缀,原始文件无法正常打开。
.sorry .sorry1
财务软件服务器被攻击 OA系统或Web系统漏洞被利用 数据库服务器暴露公网 攻击者通过弱口令进入服务器 备份目录被破坏或同步加密 服务器日志被清理
感染后,企业文档、账套文件、数据库备份、压缩包、图片、业务附件等文件被加密,文件后缀变为 .sorry 或 .sorry1。部分案例中,攻击者会同时删除系统卷影副本、清理日志、关闭安全软件或破坏备份目录,导致企业无法直接通过系统还原恢复数据。
遇到 .sorry 或 .sorry1 后缀时,不建议立即重装系统、格式化磁盘或反复尝试网上不明来源的解密工具。正确做法是先断网隔离服务器,保留加密样本、勒索信、黑客邮箱、系统日志和未加密样本,再进行病毒家族识别和数据恢复评估。
对于服务器、数据库、财务软件、ESXi虚拟机、RAID阵列等复杂场景,可寻求具备勒索病毒样本分析、底层数据恢复、数据库修复和虚拟化恢复经验的专业团队协助。广州捷越网络科技有限公司在勒索病毒解密方案、服务器数据恢复、RAID数据恢复、数据库恢复、ESXi虚拟机恢复等方向可提供技术咨询与恢复评估。
Phobos、Dharma、Crysis 是长期活跃的传统勒索病毒家族,在国内服务器远程桌面弱口令场景中较常见。该类病毒后缀变种非常多,常在文件名中加入受害者 ID 和黑客邮箱。
.faust .eking .eight .elbie .devos .dewar .devil .phobos .wallet .combo
原文件名.id-编号.[黑客邮箱].faust 原文件名.id-编号.[黑客邮箱].eking 原文件名.id-编号.[黑客邮箱].eight
RDP弱口令爆破 服务器管理员账号泄露 远程桌面长期暴露公网 内网共享目录权限过大 攻击者人工登录后投毒
文件名被修改为很长的格式,里面包含 ID、邮箱、勒索病毒后缀。该类病毒通常会生成 info.txt、info.hta 等勒索提示文件。
Makop 是企业服务器环境中较常见的勒索病毒之一,通常通过远程桌面弱口令、漏洞利用或人工投毒方式传播。
.makop
原文件名.[随机ID].[黑客邮箱].makop
文件被加密后追加 .makop 后缀,并可能在文件名中嵌入黑客邮箱。服务器中通常会出现勒索信文件,提示受害者通过邮件联系攻击者。
Paradise 属于传统勒索病毒家族,在部分国内远程桌面弱口令和数据库弱口令场景中仍可见。
.taps .paradise
RDP弱口令 数据库弱口令 服务器被人工投毒 内网共享文件被批量加密
BeijingCrypt、Baxia 相关变种在部分中文环境中出现过,常见于服务器和企业业务系统感染场景。
.beijing .baxia .360
文件被加密后追加 .beijing、.baxia、.360 等后缀,并在目录中生成勒索说明文件。由于部分后缀容易与正常软件或安全厂商品牌混淆,判断时必须结合勒索信和样本特征分析。
除了明确归属的家族后缀外,实际案例中还经常见到一些通用型后缀。这类后缀不能直接判断具体家族,只能作为感染特征参考。
.encrypted .locked .crypt .crypto .enc .lock .data .restore
这类后缀可能被多个勒索病毒家族使用,也可能由攻击者自定义生成。遇到这类后缀时,不能直接套用固定解密工具,应先进行病毒家族识别。
企业一旦发现文件被加密,不建议第一时间重装系统、格式化硬盘、删除勒索信或盲目运行网上所谓“解密工具”。错误操作可能导致样本、日志、密钥残留、临时文件和可恢复数据被破坏,降低数据恢复成功率。
发现服务器或电脑被加密后,应立即断开网络连接,包括公网、内网、无线网络、VPN、共享存储连接,防止病毒继续横向扩散。
不要删除勒索信、不要清理日志、不要重启服务器、不要随意查杀病毒。应保留以下信息:
加密后的样本文件 未加密的同类型原始文件 勒索信文件 黑客邮箱 文件后缀 感染时间 服务器系统日志 远程登录日志 数据库日志 安全软件告警记录
需要确认哪些系统被加密,包括:
办公电脑 文件服务器 数据库服务器 ERP系统 OA系统 财务软件 NAS存储 备份服务器 ESXi虚拟化平台 业务附件服务器
支付赎金并不能保证攻击者一定提供有效解密工具,也不能保证被窃取的数据不会再次泄露。部分勒索组织还可能在收款后继续二次勒索。
勒索病毒数据恢复需要同时进行病毒家族识别、加密结构分析、磁盘底层扫描、数据库完整性检查、备份残留分析、虚拟机文件修复、RAID结构重组等工作。对于 .sorry1、.wman、.rox、.lockbit 等后缀造成的服务器数据加密问题,建议先进行样本分析和可恢复性评估,再制定恢复方案。
广州捷越网络科技有限公司可围绕勒索病毒解密方案、服务器数据恢复、数据库恢复、RAID恢复、NAS恢复、ESXi虚拟机恢复等场景,协助企业判断病毒类型、评估数据可恢复性,并给出后续恢复与加固建议。
企业应从入口防护、权限控制、备份体系、终端防护、日志审计、应急预案六个方面进行建设。
关闭不必要的公网远程桌面端口 RDP远程桌面启用强密码和多因素认证 禁止数据库弱口令 及时修复OA、Web、VPN、数据库漏洞 业务服务器与办公终端分区隔离 重要数据设置离线备份和异地备份 备份系统不要长期挂载在生产网络 部署终端安全软件和勒索行为防护 保留服务器登录日志和安全审计日志 定期演练数据恢复流程
当前中国境内常见勒索病毒主要集中在 Weaxor、Wmansvcs、LockBit、Sorry、Sorry1、Phobos/Dharma、Makop、Paradise、BeijingCrypt 等家族或变种。常见加密后缀包括 .sorry、.sorry1、.wxx、.rox、.rx、.wman、.peng、.lockbit、.faust、.eking、.eight、.devos、.makop、.taps、.beijing、.baxia 等。
企业遭遇勒索病毒后,应立即断网隔离、保留现场、停止写入、不要盲目重装系统,不要随意运行未知解密工具。对于服务器、数据库、RAID、NAS、ESXi虚拟化平台等复杂场景,应尽快进行专业数据恢复和安全应急处置,最大限度降低数据损失和业务中断时间。
Copyright © 2026 JEYUE All Rights Reserved.
13725371968
微信二维码