国内近期活跃勒索病毒家族威胁分析:Weaxor、Wmansvcs、Sorry 2026年上半年国内勒索软件威胁持续攀升。根据360数字安全集团发布的月度报告Weaxor、Wmansvcs、Sorry三大家族长期占据国内勒索软件感染占比前三名。以下逐一介绍各家族的攻击特征、目标企业及薄弱点。一、Weaxor 勒索家族Weaxor 是曾经活跃的Mallox 勒索软件家族的“品牌重塑”版本其技术架构与攻击战术均继承了 Mallox 的隐蔽性与破坏力。该家族自2024年10月首次在国内现身以来便展现出极强的渗透能力2025年持续占据国内勒索攻击活跃度榜首。攻击核心表现:1. 跨平台攻击能力持续扩张Weaxor最初主要聚焦Windows系统平台2026年已新增针对Linux服务器平台的变种。该Linux变种为64位ELF可执行文件支持通过参数指定加密线程数、文件加密分块大小、运行模式等并可选择普通文件加密模式或VM/虚拟磁盘加密模式。样本启动后会首先检测CPU是否支持AVX2指令集——不支持的设备直接退出既保障加密效率也兼顾“反分析”功能。2. 漏洞利用驱动的攻击模式攻击者密集利用国内主流OA系统、Web应用程序的远程代码执行RCE漏洞作为跳板进行投毒并加密数据。在Windows平台下Weaxor持续通过多轮更换远程下发的BYOVD自带易受攻击的驱动程序以对抗安全软件。该家族还迅速将开源情报披露的联想漏洞驱动武器化发起攻击。3. 双层加密架构Weaxor采用复杂的双层加密架构主要涉及ChaCha20流密码与AES对称加密的组合部分变种甚至引入RSA非对称加密极大地增加了数据恢复难度。攻击目标:Weaxor 的行业覆盖范围广泛重点攻击制造业、医疗保健、商业服务、零售、建筑业和能源等行业。典型案例如下华东某三甲医院因未及时打补丁遭Weaxor勒索软件攻击导致120急救系统停摆4小时37台手术延期损失超千万元。烟台某制造企业遭AI智能体辅助的勒索软件攻击72小时内系统被加密、备份被删除损失5000万元。企业薄弱点:Weaxor 攻击者利用未受保护的Microsoft SQLMSSQL服务器、远程桌面协议RDP暴力破解以及特定漏洞如CVE-2024-51324作为主要初始访问向量。企业的核心薄弱点包括数据库服务器缺乏有效防护、OA及Web应用未及时修补高危漏洞、终端安全软件缺失或防护未开启。二、Wmansvcs勒索家族自2025年6月首次现身以来Wmansvcs 勒索软件迅速跻身国内最为活跃的勒索软件之一感染量长期稳居前二。该家族目前主要演化出“.peng”与“.wman”两个后缀分支。攻击核心表现1. 高度聚焦国内用户的定向攻击Wmansvcs展现出了高度明确的攻击意图——高度聚焦国内用户通过远程桌面协议RDP弱口令手段对特定IP进行长期定向投毒与横向渗透。入侵一台设备后再向内网其他机器扩散。2. 高效的“稀疏加密”策略Wmansvcs采用Rust语言开发支持对本地计算机、网络计算机、域计算机环境进行加密。文件加密采用ChaCha20算法当文件小于等于512KB时进行全文件加密大于512KB则只加密文件的前512KB内容。“.peng”分支对超过一定大小的文件采用分块加密仅加密文件头部的64KB。这种“稀疏加密”策略目的明确加密和解密速度极快尤其对于服务器上的数据库类大文件几乎是瞬间完成同时通过加密文件头确保文件“打不开”、中间块确保文件“看不全”、文件尾确保文件“无法索引/无法跳转”三个关键部位以最小的工作量实现最大的破坏效果。3. 勒索信与壁纸篡改加密完成后Wmansvcs会释放名为“DECRYPTION_INFORMATION.html”的勒索信并修改系统桌面壁纸。攻击目标:Wmansvcs 主要针对国内各类企业尤其是未部署有效终端安全防护产品的组织。该家族通过RDP弱口令进行扩散攻击目标涵盖制造业、商贸、服务业等广泛行业。企业薄弱点:Wmansvcs攻击的核心薄弱点十分明确远程桌面协议RDP弱口令——这是该家族最主要的入侵通道。被感染的设备均是内部网络中未部署有效终端安全防护产品的设备。360监测数据显示大量企业网络中存在缺乏基础防护的“裸奔”设备致使攻击者无需绕过安全软件而仅凭暴力破解即可轻松获利。三、Sorry 勒索家族Sorry 勒索软件自2026年3月首次爆发以来快速成长为国内头部高危勒索软件家族。该家族被确认为与TellYouThePass家族存在较强关联的新变种。TellYouThePass家族以热衷于利用“当红”漏洞进行批量传播著称曾利用用友NC漏洞、Apache Log4j RCECVE-2021-44228、ActiveMQ RCECVE-2023-46604等高危漏洞实施大规模攻击。攻击核心表现:1. 跨平台批量自动化攻击Sorry家族覆盖Windows与Linux双平台。在Linux平台主要利用cPanel认证绕过漏洞CVE-2026-41940大肆传播。该漏洞影响2014年3月4日发布的cPanel 11.42至2026年5月1日修复版本之间的所有版本。攻击者在漏洞披露后48小时内即开始大规模利用。截至2026年4月30日全球已有超过44,000个IP地址被入侵其中7,135个确认为cPanel或WHM实例。在Windows平台Sorry主要利用Borland Socket Server组件漏洞进行传播。该组件漏洞影响了国内多个行业头部厂商的中小微企业管理软件。2. 三层混合加密架构Sorry变种采用复杂的三层混合加密架构可能采用“高效对称算法加密文件非对称算法封装密钥”的组合模式密钥管理结构复杂疑似存在多层封装。加密后的文件结构固定可识别包含Magic头部、CHUNK长度值、RSA封装块等。3. 完整的攻击链Sorry采用“漏洞自动化批量投放”策略通过扫描互联网侧暴露的企业服务组件利用已知高危RCE漏洞获取远程代码执行能力。攻击成功后立即触发远程命令拉取下一阶段载荷全程自动化无需人工干预。勒索主程序以MSI安装包形式封装托管于攻击者控制的阿里云OSS存储桶中利用合法云存储平台托管恶意载荷以规避安全过滤。执行后首要动作是定向停止Microsoft SQL Server及相关数据库服务以确保数据库文件可被完整加密。攻击目标:Sorry 的 Windows 版本在国内主要影响医药、医疗器械、中小商贸企业以及其他各类中小微企业。Sorry 勒索软件中招用户高度集中在财务软件使用者。该病毒主要利用老旧 ERP 系统或 OA 系统存在的弱口令或 Nday 漏洞对部署核心业务系统的服务器发起精准打击案例包括广东某连锁药店管家*系统、上海某医疗器械外贸企业*蝶 ERP等。企业薄弱点Sorry 攻击的核心薄弱点包括老旧软件未及时更新企业对外暴露的、未修补的高危漏洞包括cPanel认证绕过漏洞CVE-2026-41940、Borland Socket Server组件漏洞等。核心业务系统OA、ERP缺乏有效防护这些系统往往部署在互联网侧且未及时修补漏洞。总结共同的薄弱点与防护建议综合三大活跃勒索家族的攻击特征企业面临的共同薄弱点主要集中在以下方面基础安全防护严重缺失360监测数据显示遭勒索攻击的设备中未安装任何安全软件的占比长期高达58%至61%。大量企业在被攻击时处于事实上的“裸奔”状态。远程访问通道安全性不足RDP弱口令是Wmansvcs的主要入侵途径也是众多勒索攻击的通用入口。漏洞修补滞后无论是Weaxor利用的OA/Web应用RCE漏洞、Sorry利用的cPanel认证绕过漏洞还是Borland Socket Server等老旧组件漏洞根源都在于未及时修补已知高危漏洞。老旧软件长期服役大量企业仍在运行已停止维护的软件版本成为勒索攻击的突破口。缺乏纵深防御体系多数企业仅配置基础杀毒软件缺乏漏洞巡检、身份管控、网络隔离等纵深防护措施。