文章总结： VolkLocker勒索软件采用Golang开发支持跨平台并宣称AES-256加密，但因主解密密钥硬编码且明文存储于临时目录导致严重漏洞，受害者可自行解密；其强制计时器功能会在48小时未付赎金或密钥错误三次后删除用户文件，背后通过Telegram提供RaaS服务低价售卖，警示黑客迭代与备份重要性。 综合评分： 88 文章分类： 恶意软件,漏洞分析,红队,威胁情报,安全大事件

深扒 VolkLocker：号称 AES-256 强加密，为何输给了 C:\Users\Temp 下的一个明文文件？

原创

Hankzheng

技术修道场

2025年12月16日 07:46 广东

写在前面： 做开发的兄弟们都知道，世界上最遥远的距离，不是生与死，而是你用了军工级的 AES-256 加密算法，却把私钥贴在了大门口的地垫下。

今天我们要聊的主角 VolkLocker，就是这样一个让人哭笑不得的勒索软件。作为一个 RaaS（勒索软件即服务）的新品，它不仅支持 Windows/Linux 双平台，还用 Golang 重构了底层，看起来那叫一个唬人。但 SentinelOne 最近发现，它犯了一个新手程序员都不应该犯的“低级错误”。

大家好，我是Hank。

最近安全圈又出了个不大不小的新闻。那个亲俄的黑客组织 CyberVolk（也就是之前的 GLORIAMIST），消停了一阵子后，带着他们的新产品 VolkLocker（CyberVolk 2.x 版本）卷土重来了。

本来我是抱着学习的心态去研究这玩意的，毕竟它宣称是用 Golang 编写，还能跨平台，甚至搞了一套基于 Telegram 的自动化 C2 控制系统。结果看完 SentinelOne 的逆向报告，我差点笑出声。这哪是勒索病毒啊，这简直是给受害者送温暖的“加密体验卡”。

01 看着挺专业：Golang 加持与 AES-256

咱们先得承认，抛开那个致命 Bug 不谈，VolkLocker 的架构设计还是有点东西的。

在这个版本中，开发者选择了 Golang 作为开发语言。对恶意软件开发者来说，Golang 简直是“梦中情语”：编译出的二进制文件体积大、包含了大量运行时库，极其干扰逆向分析；而且它是跨平台的，写一套代码，Windows 和 Linux 通吃。

在加密算法上，他们也没有含糊，使用的是 AES-256 算法，并且采用了 GCM (Galois/Counter Mode) 模式。

🛠 技术硬核点： VolkLocker 调用了 Golang 原生的 crypto/rand 包来生成随机数。GCM 模式不仅能提供机密性，还能提供数据完整性校验。理论上，如果密钥管理得当，这种加密强度是目前算力无法暴力破解的。

一旦运行，它会执行一套标准的“勒索流程”：

• 提权：

  尝试获取系统最高权限。

• 环境侦察：

  特别是会检查 MAC 地址前缀，比如 00:0C:29 (VMware) 或 00:16:3E (Xen)，来判断自己是不是在虚拟机里跑。如果发现是蜜罐或沙箱，它可能就会“装死”。

• 大扫除：

  干掉 Windows Defender，删除卷影副本（Shadow Copies），修改注册表阻碍恢复。

到这一步，它还像是一个合格的“杀手”。

02 翻车现场：密钥竟然放在 %TEMP% 里？

重点来了！这也是为什么我说它“送温暖”的原因。

安全研究员 Jim Walter 在分析 VolkLocker 的测试样本时，发现了一个惊天漏洞。开发者在编写代码时，可能是为了调试方便，把主解密密钥（Master Key）硬编码在了二进制文件中。

这还不是最离谱的。最离谱的是，当勒索软件运行时，它会把这个 Master Key 以明文形式写入受害者的 Temp 目录下！

📍 翻车现场路径：

C:\Users\<User>\AppData\Local\Temp\system_backup.key

兄弟们，这就好比你给家里装了一扇防盗系数拉满的钛合金大门，然后把钥匙挂在门口显眼处，旁边还贴个条子写着“备用钥匙”。

为什么会这样？ 大概率是开发人员在发布 Release 版本时，忘了删除 Debug 阶段留下的测试工件（Test Artifacts）代码。因为这个 system_backup.key 文件在加密完成后并没有被删除。

这意味着什么？意味着只要你不慌，不用给黑客转账一分钱比特币，拿着这个 Key 就能自己解密所有 .locked 或 .cvolk 后缀的文件。

03 别高兴太早：它的破坏机制依然凶残

虽然嘲笑了它的密钥管理，但作为一名负责任的技术人员，我必须提醒大家：VolkLocker 依然非常危险。

如果你没有及时发现那个 Key，或者遇到了它的修复版本，后果很严重。VolkLocker 引入了一个让人背脊发凉的功能：强制计时器（Enforcement Timer）。

传统的勒索软件如果你不付钱，通常只是文件永远打不开。但 VolkLocker 玩得更狠：

• 🔴 如果你在 48小时 内没有支付赎金；
• 🔴 或者你尝试输入错误的解密密钥超过 3次；

它会直接触发“自毁程序”，强制擦除（Wipe）以下用户目录的内容： Documents（文档）、Desktop（桌面）、Downloads（下载）、Pictures（图片）

这种“撕票”行为，无疑极大地增加了受害者的心理压力。

04 黑色产业链：Telegram 里的生意经

最后，我们来看看这背后的商业模式。CyberVolk 并不是单打独斗，他们在玩很新的 RaaS（勒索软件即服务）。

他们主要通过 Telegram 进行售卖和管理：

• 价格亲民：

  Windows 或 Linux 单版本售价 $800 – $1,100，双版本打包价 $1,600 – $2,200。

• 自动化服务：

  买家（攻击者）甚至不需要懂技术，通过 Telegram Bot 就能生成载荷（Payload）、管理受害者列表、发起解密甚至查看受害者的系统信息。

这种低门槛、低成本的运作方式，意味着即使是“脚本小子”也能轻易发起勒索攻击。

最后

VolkLocker 的这次“翻车”，虽然让我们看了一场笑话，但也给我们敲响了警钟：

1. 黑客也在迭代：

   这次是忘了删 Debug 代码，下次版本更新（v2.1）肯定就修复了。不要指望每次都能捡漏。

2. Golang 恶意软件是趋势：

   跨平台的特性让防御变得更加复杂，Linux 服务器不再是绝对的安全港湾。

3. 备份！备份！备份！

   面对那个 48 小时删库的计时器，只有离线冷备份才是你最大的底气。

作为技术人，看到同行（虽然是黑产）犯这种低级错误，多少有点唏嘘。代码规范和 Release 检查真的很重要啊，哪怕你是写病毒的！ 😂

💬 互动话题

你在工作中遇到过最离谱的“调试代码带上线”的事故是什么？ 欢迎在评论区分享，让我知道我不是一个人在战斗！👇

查看原文：《深扒 VolkLocker：号称 AES-256 强加密，为何输给了 C:\Users\Temp 下的一个明文文件？》