2025-12-29 00:45:28 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本月Weaxor勒索高发，多利用财务漏洞及弱口令。在线代码工具泄露大量敏感信息，建议改用本地IDE。案例警示不可依赖运气恢复，需防范仅窃密不加密攻击。建议立即隔离感染主机，修补系统漏洞，并严格遵循3-2-1备份原则构建离线备份体系。 综合评分： 88 文章分类： 威胁情报,恶意软件,应急响应,数据泄露,漏洞分析

cover_image

Solar安全洞察 | 11月勒索态势月报：随手粘贴的代码，竟成5年泄密垃圾场

原创

solarsec

solar应急响应团队

2025年12月1日 15:12 山东

导读： 11月，勒索软件并没有停下脚步。从Solar内部处置的数据来看，Weaxor家族正在疯狂利用财务系统漏洞收割中小企业；

而在全球视野中，一场关于开发习惯的信任危机正在爆发——你随手在在线工具里格式化的一段代码，可能正在暗网被万人围观。

本期月报，我们将带你从一线应急的血泪教训，看懂当下的安全暗流。

一、本月发文总览

本月团队共发布17篇安全相关内容，涵盖新闻转载、原创文章、工具分享等多个维度，具体列表如下：

二、本月Solar应急响应数据：虚拟化平台成重灾区

本月（2025年11月），Solar应急响应团队共处置各类网络安全事件 42 起。在勒索软件事件中，Weaxor 家族的活跃度占比最高，达到 12 起，占本月总事件数的 28.57%。

11月份 Solar 勒索软件家族处置数据饼状图

深度解析：Weaxor 家族的定向爆破

该家族整体延续以往攻击套路，打法非常务实且凶狠：

1.初始入口： 仍以利用 Nday 漏洞攻击财务类OA系统 或通过 RDP 弱口令爆破 为主。

2.反侦察： 在完成加密后，攻击者会有意识地清除系统日志，显著增加事后溯源难度。

3.重灾区： 经多起案例溯源分析发现，Weaxor 家族普遍是借助企业已部署的部分 OA/财务管理系统中存在的安全漏洞实现入侵。尤其是若干广泛使用的财务类管理系统，已多次被用作关键突破口。

Solar 警示： 请立即检查您的财务系统和OA系统补丁情况，相关系统漏洞暴露风险需予以高度重视并加快加固整改。

特别策划：来自一线应急团队的防勒索生存指南

从 Weaxor 到 8BASE、Medusa，再到早年的 888、Mallox，我们在一线应急中已经无数次听到这样的开场：

我的文件怎么都打不开了？电脑弹出个窗口让我付比特币！公司系统全瘫了，生产线都停了！

对很多企业来说，勒索不再是新闻里的遥远名词，而是实实在在砸在自己头上的业务灾难。也正因为如此，本月我们特意整理了一篇长文，不念教条，只谈实战。

如果您时间紧迫，请至少死记硬背以下黄金三条：

1.先止血：立刻隔离，而不是乱操作

断网： 物理拔网线或禁用网卡，隔离受感染主机，防止病毒在内网继续横向移动。
保现场： 不要随意关机、重装系统、清空日志。这些都是后续溯源和解密的关键证据，破坏了现场就等于切断了恢复的希望。

2.找对路：别乱试工具，尽快请专业团队介入

避坑： 绝不要轻信网上来路不明的万能解密工具，更不要一上来就急着和黑客邮件谈价。
求援： 尽快联系有实战经验和应急资质的团队（如Solar），评估是否存在解密/恢复可能、是否属于已知家族（如 Weaxor、Mallox、LIVE 等），以及能否通过技术手段在不付赎金的前提下最大限度挽回数据和业务。

3.建体系：把这次当体检，补上备份和漏洞的课

修补： 梳理对外暴露资产，及时修补 OA、VPN、防火墙等关键系统漏洞，清理弱口令。
备份（核心）： 重构备份体系，做到 3-2-1 原则、多版本、离线/不可变备份。切记，连着网的备份盘，也会被勒索病毒一起加密！
演练： 引入防勒索专项防护（如具备行为检测和密钥捕获能力的产品），并通过防勒索演练平台定期做沙盘推演，把流程和预案练熟。

我们也非常理解大家对于勒索病毒的苦恼，为此我们输出了一篇针对勒索病毒的应急措施文章：

【首发科普】来自专业团队的忠告！遇到勒索病毒应如何自救

应急响应服务流程示意图

复盘1：【Kann】系统瘫痪7天，损失超20万 —— 一场被运气拯救的灾难

事件回顾：四川德阳某连锁超市遭遇勒索软件攻击，核心的库存、供货及会员储值数据全被加密。旗下多家门店连续 7 天无法正常营业，直接经济损失超过 20 万元。虽然警方跨省抓获了嫌疑人王某，但其使用的 Kann 家族勒索软件仍在黑产圈流通。

起因与薄弱点：

攻击者画像： 嫌疑人王某因炒币亏损，半路出家学习黑客技术。
入侵手段： 扫描公网暴露的数据库端口，利用漏洞或弱口令撞大运。
企业硬伤： 数据库直接暴露在公网、使用弱口令、无有效备份。这简直是给黑客送上的一道自助餐。

致命缺陷与不幸中的万幸： 这起事件最讽刺的地方在于，企业之所以最后能恢复数据，不是因为防御做得好，而是因为 Kann 勒索软件本身的代码写得太烂，加密算法存在缺陷，密钥可以在合理时间内暴力破解。

Solar 锐评：靠黑客的失误捡回一条命，是企业最危险的安全策略 德阳超市这起案例，本质上是一次被运气拯救的勒索事件。如果攻击者换成加密实现成熟、无明显漏洞的主流家族（如 Mallox、Phobos），在无有效备份的前提下，该企业大概率面临数据永久丢失。别把企业生死寄托在黑客写代码会不会手抖上。花钱买设备不如花钱打基础，请立刻检查您的数据库端口是否暴露在公网！

系统瘫痪7天，损失超20万：深度复盘四川德阳超市勒索案

素材来源：央视新闻

复盘2：【Cl0p】1.8TB 数据被拖走，却几乎没有症状

事件回顾： 全球外设巨头罗技（Logitech）确认遭遇重大数据泄露。著名的 Cl0p 勒索团伙在其暗网泄露网站上直接公开了磁力链接，声称窃取了 1.8TB 内部数据。罗技虽然承认了事件，但在初期对丢失数据的描述显得非常模糊。

起因与攻击手法： 业内普遍认为，这是 Oracle E-Business Suite (EBS) 0day 漏洞 (CVE-2025-61882) 的杰作。Cl0p 团伙采取了一洞打全网的供应链打击模式，专挑高价值企业应用下手。更关键的是，Cl0p 改变了战术：只窃取，不加密。 他们悄无声息地搬运数据，绕过了绝大多数基于文件加密行为触发告警的防勒索软件。

Solar 锐评：在 Cl0p 面前，许多企业连丢了什么都说不清 罗技事件最刺眼的一点不是被黑，而是官方一开始对泄露范围的模糊态度。这证明了即使是大型企业，在数据资产盘点上也是一笔糊涂账。

防御思路必须升级： 当你还在盯着屏幕看有没有勒索信弹窗时，对方可能已经把你的核心机密打包带走了。对于只窃密不加密的攻击，流量审计和数据出境监测才是最后一道防线。

1.8TB数据数据泄露！罗技确认遭Cl0p勒索攻击，Oracle 0day漏洞或成突破口

Cl0p暗网泄露网站上罗技页面的截图

四、11月全球重点威胁情报：从代码泄露到基础设施摧毁

本月全球安全圈大瓜不断，我们按周梳理了最值得关注的情报：

第一周：数据泄露的亿级震荡

Conduent 遭遇 1000万+ 级泄露： 业务流程服务巨头 Conduent 确认发生数据泄露，影响超过 1000万人。泄露内容极其敏感，包括姓名、住址、SSN（社会安全号码）以及健康保险信息。这是典型的供应链下游风险传导案例。

Conduent 数据泄露事件影响了 10,515,849 人

瑞典数字化基础设施遭重创： 瑞典软件供应商 Tietoevry 的子公司 Miljödata 遭遇黑客攻击，导致瑞典大量政府机构、市政部门数据泄露，波及 150万人。瑞典数据保护局（IMY）已启动最高级别调查。这再次提醒我们：数字化程度越高，供应链单点故障的破坏力就越强。

Datacarry 暗网上的数据泄露门户

第二周：AI 的裸奔与警方的铁拳

福布斯 AI 50 强公司的低级错误： 据 SecurityWeek 报道，多家入选福布斯 AI 50 强的顶尖人工智能公司，竟然在 GitHub 上无意泄露了专有模型和核心凭证（API Keys）。这些掌握着最前沿技术的公司，却在最基础的代码管理上犯了错，导致核心 IP 处于裸奔状态。

福布斯AI排行榜

Operation Endgame 再次出击： 欧洲刑警组织宣布了终局行动的最新战果，查封了 1025 台 用于网络犯罪的服务器，重创了 Rhadamanthys（窃密木马）、VenomRAT 和 Elysium 僵尸网络的行动。这是近期执法部门对黑产基础设施最大规模的物理摧毁。

Rhadamanthys 的 Tor 网站上的查封横幅

第三周：云端的脆弱性

Cloudflare 全球大宕机： 11月18日，Cloudflare 发生全球服务中断。虽然外界一度猜测是由于网络攻击，但官方最终证实，祸首是内部 数据库权限配置错误。这起非攻击事件造成的业务停摆，甚至超过了许多大型DDoS攻击。

服务中断期间出现 5xx 错误 HTTP 状态码

第三方泄露潮： 法国光纤运营商 Eurofiber、外卖平台 DoorDash 接连确认数据泄露，且均指向第三方供应商环节。供应链安全管理已成为全球企业的阿喀琉斯之踵。

第四周（本月焦点）：JSON 格式化工具 —— 开发者的密钥坟墓

本月最令人后背发凉的安全新闻，非它莫属。

根据 watchTowr Labs 的最新研究，两款全球开发者每天都在用的在线工具 —— JSONFormatter (jsonformatter.org) 和 CodeBeautify (codebeautify.org)，实际上是一个长达 5 年的秘密垃圾填埋场。

发生了什么？ 这些网站提供了一个 Save & Share（保存并分享）的功能。当你为了美化代码点击 Save 时，你的代码片段（User Pastes）会被生成一个公开的 URL，并默认挂在网站的 Recent Links（最近链接）列表中。
泄露了什么？ 研究人员在这些公开链接中发现了超过 80,000 条 代码片段，涉及 5GB 的结构化数据。里面不是什么Demo代码，而是真真实实的：
生产环境 AWS 密钥 (AK/SK)
API Tokens
银行 KYC 客户身份数据
CI/CD 配置文件
影响有多大？ 这不仅是个漏洞，更是一种习惯性自杀。研究者甚至部署了蜜罐，发现在将伪造的 AWS 密钥上传到该网站后，仅仅 48小时内 就遭到了黑产的扫描和利用尝试。目前，这两家网站已紧急下线了保存功能。

网络安全公司的 JSON 代码片段来源：watchTowr

影响金融、政府、能源行业的超级泄露事件：源头竟是在线 JSON 格式化工具

Solar 建议： 请立即通知贵公司的开发部门，严禁将任何包含敏感信息的代码、配置、日志粘贴到在线格式化工具、Base64解码工具中。对于代码美化需求，请使用 IDE 本地插件（如 VS Code 插件）替代在线网站。别让你为了省事粘贴的代码，成为黑客攻击你公司的钥匙。

Solar安全团队将持续监控全球勒索态势，为您提供第一手的安全情报与防御建议。下期月报见！

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇【病毒分析】Babyk加密器分析-NAS篇【病毒分析】Babyk加密器分析-EXSI篇【病毒分析】Babuk家族babyk勒索病毒分析【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目【病毒分析】phobos家族faust变种加密器分析【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密）【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密）【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告【病毒分析】Mallox勒索家族新版本：加密算法全面解析【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目【病毒分析】mallox家族rmallox变种加密器分析报告【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“Solar应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

Solar应急响应团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

Solar应急响应团队

【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 Solar应急响应团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec《Solar安全洞察 | 11月勒索态势月报：随手粘贴的代码，竟成5年泄密垃圾场》