2026-03-29 23:48:50 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文记录了.rox勒索病毒应急响应案例。攻击者通过SQL注入启用OLE自动化组件执行PowerShell下载后门，横向渗透至数据库服务器加密数据。溯源确认入侵途径为Web端注入而非RDP爆破。建议关闭不必要的外网暴露、修复注入漏洞、保持Web与数据库隔离部署，强调断网隔离与日志溯源在应急中的关键作用。 综合评分： 80 文章分类： 应急响应,恶意软件,漏洞分析,WEB安全,内网渗透

cover_image

实战|记一次勒索病毒应急响应

原创

瓜神瓜神

瓜神网络安全&分享

2026年3月26日 16:35 北京

| | | — | | 声明：本文分享的安全工具和项目均来源于网络，仅供安全研究与学习之用， 如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。 |

0X01 背景

上午 11 时许，某单位官网突然无法访问，运维人员紧急排查发现：独立部署的 SQL Server 数据库服务器 data 目录下核心库文件被批量加密，后缀统一为.rox。

.rox 勒索病毒是当前（2026 年）极高危的勒索软件，主要由 Phobos 与 Weaxor（Mallox 变种）两大家族使用，以 AES+RSA 混合加密、删除备份、内网横向扩散为核心手段，感染后文件后缀变为 .rox，通常伴随勒索信，数据恢复难度极大。

0X02.rox 勒索病毒简介

.rox 勒索病毒核心攻击特征

一、病毒核心档案（.rox Ransomware）

#

二、两大家族核心行为

1. Phobos 家族（暴力型）

入侵方式：RDP 弱口令爆破、漏洞利用、手动投放
行为：加密极快、强制删除卷影副本、不留恢复机会
后缀：文件.rox、文件.id[xxx].rox

2. Weaxor（Mallox 变种，2026 主流）

入侵方式：SQL 注入、SMB 横向、钓鱼、漏洞利用
行为：智能加密、双重勒索（加密 + 窃密）、允许小文件测试解密
后缀：统一 .rox

三、典型攻击流程

单点突破：SQL 注入 / RDP 弱口令攻入第一台服务器
权限提升：执行命令、下载后门、获取系统权限
内网横向：批量扩散至同网段其他机器
清除备份：删除卷影副本，防止自救
批量加密：优先加密数据库、文档、代码
留下勒索信：要求比特币解密

0X03 应急响应过程（已脱敏）

一、事件隔离：立即断网隔离中毒服务器

二、收集日志分析溯源

1、根据.rox 勒索病毒特征，我和同事分别对web服务器应用日志、windows服务器Security日志进行溯源分析。

windows服务器

从现有日志来看，RDP服务对外开放，遭受长达24小时的持续暴力破解攻击，但从现有日志未发现，成功入侵记录。

2、分析web日志

发现异常

筛选导出，并筛查该aspx文件xxxx参数和本次注入特征全部日志

解码如下：

攻击者通过SQL注入启用OLE自动化组件

xxxx参数=aaaaa’; EXEC sp_configure ‘show advanced options’, 1;RECONFIGURE WITH OVERRIDE;EXEC sp_configure ‘Ole Automation Procedures’, 1;RECONFIGURE WITH OVERRIDE;–

调用系统对象执行 PowerShell 命令

从境外恶意地址下载并执行后门脚本，获得系统控制权，该日志时间与数据库服务器被勒索时间接近

三、紧急处置

web服务器断开公网连接，紧急下线

排查相关主机日志、进程、外联，排查无异常

本次事件 Web 与数据库分离部署，为应急处置争取了窗口；但结合 IIS 日志、安全日志、进程外联分析，攻击者已通过SQL 注入漏洞控权、植入后门、横向渗透加密数据库，属于已控盘型极高危入侵。

关注公众号回复“应急响应手册”获取本人收集的杂乱的应急响应手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：瓜神网络安全&分享瓜神瓜神《实战|记一次勒索病毒应急响应》