VolkLocker软件被曝光，其硬编码主密钥允许免费解密

亲俄黑客组织CyberVolk携缺陷勒索软件VolkLocker卷土重来

亲俄黑客组织CyberVolk（又名GLORIAMIST）再度活跃，推出新型勒索软件即服务（RaaS）产品VolkLocker。值得注意的是，该产品测试工件中存在致命实施缺陷，受害者无需支付赎金即可完成文件解密。

据安全厂商SentinelOne披露，VolkLocker（又称CyberVolk 2.x）于2025年8月正式发布，采用Golang开发，可同时兼容Windows与Linux双系统。安全研究员吉姆·沃尔特在上周发布的报告中指出，运营商构建VolkLocker有效载荷时，需预先配置比特币收款地址、Telegram机器人令牌ID、Telegram聊天ID、加密截止时间、自定义文件扩展名及自毁选项等核心参数。

该勒索软件启动后，会优先尝试提升系统权限，随后开展侦察与系统枚举操作——包括将本地MAC地址前缀与Oracle、VMware等主流虚拟化厂商的特征MAC地址比对，排查目标是否为虚拟环境。完成侦察后，它将遍历所有可用驱动器，并依据内置配置筛选需加密的文件。

加密机制方面，VolkLocker借助Golang的“crypto/rand”包，采用AES-256算法的伽罗瓦/计数器模式（GCM）进行加密，每个加密文件会被添加自定义扩展名（如.locked或.cvolk）。但安全分析发现，其加密机制存在致命漏洞：加密主密钥不仅被硬编码在二进制文件中，且会明文写入系统%TEMP%文件夹下的“C:\Users\AppData\Local\Temp\system_backup.key”文件。

由于该备份密钥文件始终未被删除，这一设计缺陷直接让系统具备自我恢复能力。即便如此，VolkLocker仍保留了勒索软件的全部典型恶意特征：修改Windows注册表阻碍系统恢复与安全分析、删除卷影副本，同时终止Microsoft Defender等杀毒软件及常用分析工具的进程。

其独特威胁点在于内置强制计时器：若受害者48小时内未支付赎金，或三次输入错误解密密钥，该勒索软件将直接清除用户文件夹（含文档、桌面、下载、图片等核心目录）内容。

CyberVolk的RaaS服务通过Telegram平台运营，定价分层明确：Windows或Linux单一系统版本售价800-1100美元，双系统兼容版本售价1600-2200美元。VolkLocker有效载荷内置Telegram自动化命令与控制功能，支持运营商向受害者推送消息、启动文件解密、统计活跃受害者信息及获取目标系统详情。

截至2025年11月，该组织已开始拓展盈利版图，对外宣传远程访问木马（RAT）和键盘记录器两款工具，单品定价均为500美元。公开信息显示，CyberVolk于2024年6月首次推出RaaS服务，核心特征是通过分布式拒绝服务（DDoS）攻击、勒索软件攻击等手段针对公共机构及政府实体发起攻击，以此支撑俄罗斯政府相关利益，该组织被认为起源于印度。

沃尔特强调：“尽管2025年期间，CyberVolk的Telegram账户多次被封禁、运营频道也反复被移除，但该组织已重新恢复运营并扩大服务范围。防御者需警惕，CyberVolk采用基于Telegram的自动化技术，这正是政治动机威胁行为者的普遍趋势——此类组织不断降低勒索软件的部署门槛，同时借助为犯罪活动提供便利的基础设施平台开展攻击。”