2025年勒索軟件流行態(tài)勢報告RANSOMWARETHREATREARCHREPORT20252026年1月摘

要2025年，360反勒索服務(wù)平臺共處理2179起勒索軟件攻擊求助案例。從反饋情況來看，國內(nèi)勒索軟件整體的攻擊態(tài)勢與往年類似，安全形勢依然嚴(yán)峻。勒索軟件攻擊的目標(biāo)仍然集中于企事業(yè)單位

，雖然中小企業(yè)依然是遭受攻擊的主要群體，但規(guī)模較大的政企單位受到攻擊的情況同樣不容忽視。2025年度國內(nèi)最為流行的勒索軟件家族相比去年變化較大，前三家為Weaxor、LockBit和Wmansvcs，我們對這三家勒索軟件的處置量占總量的58.4%以上。由于當(dāng)前勒索軟件已基本形成了較為成熟穩(wěn)定的產(chǎn)業(yè)鏈

，其傳播手段趨于穩(wěn)定

。2025年

，勒索軟件的傳播依然是以遠(yuǎn)程桌面和漏洞利用兩種手段為主

，僅這兩種傳播途徑就占到了總量的近八成

。其中利用漏洞傳播是去年Mallox家族的傳統(tǒng)手段

，雖然本年度該家族已不再流行，但Weaxor作為該家族的重塑版本，則很好地繼承了這一傳統(tǒng)。勒索軟件的核心加密算法延續(xù)了往年的思路

，在保證加密強(qiáng)度的前提下

，盡可能提升加密效率

。Curve25519

、ChaCha20等高效算法已漸成主流

，而2025年新興的TheGentlemen勒索軟件

，則采用了X25519配合XChaCha20算法

，進(jìn)一步提升了加密的效率與強(qiáng)度。2025年，雙重勒索和多重勒索模式在贖金要求方面有所回落

。與去年動輒過千萬美元的贖金金額有所區(qū)別，今年多家勒索軟件的勒索金額降至百萬美元量級

，即使BlackCat對美國環(huán)球健康服務(wù)公司這類巨頭企業(yè)的勒索金額也僅為2200萬美元

。此外

，2025年度國內(nèi)最為流行的Weaxor勒索軟件

，更是將原本3萬元人民幣的勒索金額降低至1

.2萬元左右。服務(wù)業(yè)、制造業(yè)和建筑業(yè)是2025年受到雙重/多重勒索攻擊的主要行業(yè)。目前已公開的被勒索企業(yè)中

，美國企業(yè)依然以超過半數(shù)的占比位居榜首

，我國亦有企業(yè)上榜，

占比約1.46%。2025年，廣東、北京和浙江三省/市排在國內(nèi)勒索軟件攻擊態(tài)勢嚴(yán)重程度的前三位。受攻擊的系統(tǒng)類型變化不大

，桌面操作系統(tǒng)仍然位居首位

，但Windows

10系統(tǒng)正逐步被Windows11取代。制造業(yè)

、互聯(lián)網(wǎng)及軟件

、服務(wù)業(yè)是2025年國內(nèi)勒索軟件攻擊的主要目標(biāo)，教育

、醫(yī)療行業(yè)也受到了較多的攻擊，分列第五和第六位，這也應(yīng)引起重視。在攻擊IP來源方面

，美國成為勒索攻擊IP的第一大來源地

，其后則多為歐洲國家

，而新加坡和我國香港地區(qū)因為存在大量被黑客租用的服務(wù)器機(jī)房

，也榜上有名

。此外

，勒索軟件作者所采用的溝通郵箱依然以匿名郵箱為主。在與勒索軟件對抗的安全技術(shù)發(fā)展方面

，我們認(rèn)為

，未來將朝著AI技術(shù)應(yīng)用

、專業(yè)化與系統(tǒng)化攻防對抗等方向進(jìn)一步演進(jìn)

。同時

，360也推出了多款創(chuàng)新工具

，持續(xù)走在與勒索軟件對抗的安全技術(shù)前沿，推動行業(yè)在防護(hù)能力和應(yīng)對策略上不斷提升。目錄

CONTENTSP001

第一章

勒索軟件攻擊形勢一、勒索軟件概況

004(一)勒索家族分布

005(二)主流勒索軟件趨勢007(三)加密方式分布

008二、勒索軟件傳播方式

011三、多重勒索與數(shù)據(jù)泄露013(一)行業(yè)統(tǒng)計

014(二)國家與地區(qū)分布

014(三)家族統(tǒng)計

016(四)逐月統(tǒng)計

017(五)數(shù)據(jù)泄露的多重影響：商業(yè)、法律與聲譽(yù)風(fēng)險018四、勒索軟件家族更替

022(一)每月新增傳統(tǒng)勒索情況023(二)每月新增雙重、多重勒索情況024(三)家族衍生關(guān)系

039第二章

勒索軟件受害者分析一、受害者所在地域分布二、受攻擊系統(tǒng)分布三、受害者所屬行業(yè)四、受害者支付贖金情況五、對受害者影響最大的文件類型六、受害者遭受攻擊后的應(yīng)對方式七、受害者提交反勒索服務(wù)申請訴求048049051053054055056P047第三章

勒索軟件攻擊者分析一、黑客使用IP二、勒索聯(lián)系郵箱的供應(yīng)商分布三、攻擊手段(一)口令破解攻擊(二)漏洞利用攻擊(三)橫向滲透攻擊(四)共享文件(五)僵尸網(wǎng)絡(luò)投毒(六)社會工程學(xué)(七)“自帶易受攻擊的驅(qū)動程序”（BYOVD）(八)其它攻擊因素第四章

勒索軟件發(fā)展與趨勢分析一、AI加速勒索攻擊能力進(jìn)化，攻防兩端全面擁抱智能化(一)AI讓勒索攻擊智慧化、定制化、隱蔽化(二)AI驅(qū)動的全鏈路自動化勒索攻擊體系形成(三)AI成為新一代安全產(chǎn)品核心能力(四)安全產(chǎn)品門檻持續(xù)降低，AI成為普惠安全的核心二、攻擊團(tuán)伙更加專業(yè)化、系統(tǒng)化，中小企業(yè)成為高頻目標(biāo)三、創(chuàng)新驅(qū)動反勒索技術(shù)發(fā)展——安全技術(shù)新突破結(jié)論與趨勢展望第五章

安全建議一、針對企業(yè)用戶的安全建議(一)發(fā)現(xiàn)遭受勒索軟件攻擊后的處理流程(二)企業(yè)安全規(guī)劃建議(三)遭受勒索軟件攻擊后的防護(hù)措施二、針對個人用戶的安全建議(一)養(yǎng)成良好的安全習(xí)慣(二)減少危險的上網(wǎng)操作(三)采取及時的補(bǔ)救措施三、不建議支付贖金四、勒索事件應(yīng)急處置清單P057P086P096059060061061063074081083083085085089089090091091092094095097097098100101101102102103103附錄1.

2025年勒索軟件大事件一、QILIN勒索軟件在2025年度全球擴(kuò)張二、馬來西亞機(jī)場遭勒索攻擊致運(yùn)營中斷三、RANSOMHOUSE勒索攻擊全球發(fā)力四、四川德陽連鎖超市遭LOCKBIT4.0勒索攻擊五、美國環(huán)球健康服務(wù)公司醫(yī)療網(wǎng)絡(luò)癱瘓六、BLACKSUIT勒索攻擊席卷450余家美國機(jī)構(gòu)七、國內(nèi)某能源企業(yè)受DARKNESS勒索家族變種攻擊八、LOCKBIT5.0卷土重來并與多個勒索家族結(jié)盟九、國內(nèi)醫(yī)療行業(yè)面對SPMODVF勒索攻擊十、FIT遭INCRANSOM攻擊附錄2.

360終端安全產(chǎn)品反勒索防護(hù)能力介紹一、360攻擊痕跡檢測功能二、遠(yuǎn)控與勒索急救功能三、勒索預(yù)警服務(wù)四、弱口令防護(hù)能力五、數(shù)據(jù)庫保護(hù)能力六、WEB服務(wù)漏洞攻擊防護(hù)七、橫向滲透防護(hù)能力八、提權(quán)攻擊防護(hù)九、掛馬網(wǎng)站防護(hù)能力十、釣魚郵件附件防護(hù)附錄3.

360解密大師附錄4.

360勒索軟件搜索引擎P106P125P143P145107108110112115116117119121123126130133134136137138140141142第一章勒索軟件攻擊形勢P001P047勒索軟件攻擊形勢2025年

，勒索軟件依然是全球范圍內(nèi)風(fēng)險等級最高

、影響面最廣的網(wǎng)絡(luò)安全威脅之一

，其在國內(nèi)的整體傳播態(tài)勢總體延續(xù)了2024年以來的相對平穩(wěn)狀態(tài)

。無論是新出現(xiàn)的勒索軟件家族，還是長期活躍的傳統(tǒng)勒索軟件團(tuán)伙，其攻擊活動依然頻繁，且對個人用戶、企業(yè)及政府機(jī)構(gòu)持續(xù)構(gòu)成現(xiàn)實威脅，但未觀察到某單一勒索軟件家族在短時間內(nèi)引發(fā)大規(guī)模、爆發(fā)式傳播的情況

。這一相對穩(wěn)定的態(tài)勢

，一方面

，得益于全球主流安全廠商在反勒索技術(shù)、防護(hù)體系和應(yīng)急響應(yīng)能力上的持續(xù)投入與協(xié)同對抗；另一方面，也與個人用戶及政企單位對勒索軟件這一高危惡意軟件類型的認(rèn)知不斷加深、防范意識和基礎(chǔ)防護(hù)能力顯著提升密切相關(guān)。雖然整體數(shù)據(jù)平穩(wěn)，但勒索軟件的攻勢依然不減。攻擊方式也有顯著變化。針對個人、中小企業(yè)以傳統(tǒng)勒索攻擊為主，頭部勒索家族如Makop、Phobos均屬于此類情況。贖金金額方面，沒有顯著變化，仍以2000美元～5000美元為主

。針對大中型企業(yè)的勒索攻擊，

已轉(zhuǎn)為竊密

、加密雙重勒索形式為主

，而贖金金額多了“一單一價

”的模式

。在技術(shù)演進(jìn)方面，主流勒索家族的攻擊、加密、運(yùn)營技術(shù)逐步趨同，一個單位頻繁遭受多家勒索軟件攻擊的案例時有發(fā)生

。部分新興家族

，在勒索軟件創(chuàng)建時

，存在疏漏

。360反勒索專家，利用這一特點(diǎn)，成功完成了7款勒索軟件的解密。通過對2025年勒索軟件樣本的深入分析

，以及相關(guān)攻擊案例的溯源研究可以發(fā)現(xiàn)

，雖然勒索軟件的整體技術(shù)框架并沒有發(fā)生根本變化，但在具體攻擊方式和實施細(xì)節(jié)上，各個家族仍在不斷優(yōu)化和升級。為了提高入侵效率和成功率，越來越多的勒索團(tuán)伙開始把軟件漏洞和Web漏洞作為主要突破口，而不再單純依賴RDP暴破等傳統(tǒng)手段。針對大中型企業(yè)的邊界設(shè)備漏洞攻擊成為常態(tài)，

內(nèi)網(wǎng)橫移重點(diǎn)打擊AD域控

、VMware

ESXI

、IT管控平臺等集 第一章

勒索軟件攻擊形勢

P002

2025年勒索軟件流行態(tài)勢報告控設(shè)備。在勒索病毒免殺對抗方面，這類攻擊家族表現(xiàn)并不積極，攻擊者一般在獲取足夠權(quán)限后，通過管控方式來關(guān)閉設(shè)備的安全功能。值得關(guān)注的是，隨著人工智能技術(shù)的快速發(fā)展和普及，勒索軟件正在變得更加“聰明”和高效

。在AI的幫助下，這類攻擊的更新速度明顯加快，操作門檻不斷降低，使得更多攻擊者能夠輕易發(fā)起復(fù)雜的網(wǎng)絡(luò)攻擊

。可以預(yù)見

，未來人工智能驅(qū)動的勒索攻擊將逐漸成為常態(tài)，成為網(wǎng)絡(luò)空間中不容忽視的重要安全風(fēng)險。與此同時，人工智能也正在成為網(wǎng)絡(luò)安全防護(hù)的重要力量

。越來越多的安全廠商將AI技術(shù)引入安全產(chǎn)品和服務(wù)中，在威脅發(fā)現(xiàn)

、異常行為識別和自動化處置等方面顯著提升了防御能力。展望未來，那些能夠成熟、高效地運(yùn)用人工智能技術(shù)的組織

，將在應(yīng)對勒索軟件及其他網(wǎng)絡(luò)威脅的長期對抗中占據(jù)明顯優(yōu)勢

。可以說，人工智能已經(jīng)成為當(dāng)前乃至未來一段時期內(nèi)，網(wǎng)絡(luò)攻防博弈中最關(guān)鍵的因素之一。2025年

，360反勒索服務(wù)共處理了2179例勒索攻擊求助，發(fā)現(xiàn)84個新勒索家族，其中多重勒索家族40個約占一半

。新增支持8款勒索病毒的解密

，其中7款為全球獨(dú)家解密

。協(xié)助2271位用戶

，完成486萬份文件的解密，挽回?fù)p失超4700萬元

。2025年

，360防黑加固共保護(hù)近216萬臺設(shè)備免遭入侵，攔截各類弱口令入侵共計超過12億次。2025年

，360反勒索預(yù)警服務(wù)基于360全網(wǎng)安全大數(shù)據(jù)視野

，監(jiān)測勒索攻擊的多個環(huán)節(jié)，在勒索攻擊的準(zhǔn)備階段，以及病毒初始投遞階段，對監(jiān)管、企業(yè)用戶提供勒索預(yù)警訂閱服務(wù)

，爭取在勒索的前期階段

，進(jìn)行阻斷，避免造成受害單位的進(jìn)一步損失

。2025年共計捕獲勒索攻擊事件線索5858起，涉及受害單位1639家，確認(rèn)勒索病毒家族62個，攻擊IP來源地涉及境外52個國家或地區(qū)，輸出勒索攻擊事件線索674起，覆蓋全國多個地區(qū)。本章將對2025年全年

，360反勒索服務(wù)檢測到的勒索軟件相關(guān)事件與數(shù)據(jù)進(jìn)行分析解讀。 第一章

勒索軟件攻擊形勢

P003

2025年勒索軟件流行態(tài)勢報告一勒索軟件概況2025年全年

，360反勒索服務(wù)平臺

、360解密大師兩個主要渠道

，一共接收并處理了2179位遭遇勒索軟件攻擊的受害者求助

。其中來自企業(yè)用戶的求助占比較高

，與個人受害者相比，組織單位受到攻擊后所影響的設(shè)備數(shù)量較多、勒索金額較大，造成的損失程度也更為嚴(yán)重。勒索軟件對企業(yè)的影響正在進(jìn)一步加深，社會整體面臨的勒索軟件威脅依舊嚴(yán)峻。下圖給出了2025年各月通過360安全衛(wèi)士反勒索服務(wù)和360解密大師渠道，提交申請并最終確認(rèn)感染勒索軟件的有效求助量情況。2025年反饋量的增長波動主要受Wmansvcs家族與Weaxor家族影響

。前者頻繁發(fā)起暴破攻擊，造成大量未使用360終端安全產(chǎn)品的設(shè)備中招。后者長期無差別發(fā)起Web漏洞利用攻擊，且攻擊過程中加入了大量與安全軟件的攻防對抗，造成大量未使用360終端安全產(chǎn)品的用戶中招，也使其成為2025年排行第一的勒索家族。 第一章

勒索軟件攻擊形勢

P004

2025年勒索軟件流行態(tài)勢報告（一）勒索家族分布下圖給出的是根據(jù)360反勒索服務(wù)和360解密大師數(shù)據(jù)所計算出的2025年勒索軟件家族流行占比分布圖。其中，

PC端系統(tǒng)中Weaxor

、LockBit和Wmansvcs這三大勒索軟件家族的受害者占比最多

，

都屬于老牌勒索家族及衍生家族。TOP10家族中值得注意的有下面幾點(diǎn)：

Weaxor最早出現(xiàn)于2024年10月

，是TargetCompany（Mallox

）勒索家族的重塑版本

。 第一章

勒索軟件攻擊形勢

P005

2025年勒索軟件流行態(tài)勢報告除了使用高度相似的代碼外

，也沿用了原有的這三個典型投毒渠道

。2025年這個家族依靠Web漏洞利用成為斷崖式領(lǐng)先的勒索家族

，并在攻擊過程中積極利用大量存在漏洞的驅(qū)動程序遠(yuǎn)程注入系統(tǒng)進(jìn)程，與安全軟件做內(nèi)核對抗，進(jìn)一步保障了勒索攻擊的成功率。1

、Wmansvcs最早出現(xiàn)于2025年6月，是基于phobos勒索家族的衍生版本

。此家族只在國內(nèi)傳播

，未發(fā)現(xiàn)任何境外傳播案例

。傳播方式為遠(yuǎn)程桌面登錄后手動投毒

，加密器執(zhí)行后可選擇加密SMB共享設(shè)備。自2025年6月開始在國內(nèi)傳播以來，該家族從未試圖與360進(jìn)行過任何對抗行為

，甚至連攻擊IP都沒有進(jìn)行過更換

。受害者主要為中小企業(yè)以及申請了固定IP的個人用戶

。這從側(cè)面說明

，沒有有效終端防護(hù)的用戶數(shù)量龐大，足以支撐黑灰產(chǎn)牟利。2

、LockBit作為歷史悠久的全球知名勒索家族

，在2025年恢復(fù)了LockBit5.0版本的多重勒索站點(diǎn)

。在傳統(tǒng)的傳播模式基礎(chǔ)上，

引入了第三方黑產(chǎn)團(tuán)伙的參與

，如銀狐木馬團(tuán)伙與其背后的電信詐騙團(tuán)伙

。除了年底的LockBit5.0版的復(fù)興外，全年傳播的版本主要集中在LockBit3與其泄露代碼的構(gòu)建版本。3

、Beast家族自2022年出現(xiàn)以來

，擁有眾多變種與衍生家族

。2025年該家族對國內(nèi)目標(biāo)保持了較高的攻擊效率

，且由于其跨平臺的攻擊特性

，360同樣捕獲了大量Linux

、Exsi

、Nas等平臺版本的變種

。由于相關(guān)平臺存在漏洞難以被管理員及時修復(fù)

，且多數(shù)設(shè)備沒有安裝防護(hù)產(chǎn)品，形成了安全隱患，

因此需對此類跨平臺家族保持高度警惕。4

、Phobos作為曾經(jīng)排名靠前的勒索軟件家族之一

，在2025年被緝拿落網(wǎng)歸案

。360解密大師第一時間提供了對該家族的加密支持

。然而

，2025年基于該家族的衍生版本W(wǎng)mansvcs

，在國內(nèi)傳播非常廣泛，

同源并在全球范圍內(nèi)傳播的Makop家族也保持著很高的排名

。這證明其在傳播和加密技術(shù)方面相對成熟穩(wěn)定，

因而不斷被后來者模仿與借鑒。 第一章

勒索軟件攻擊形勢

P006

2025年勒索軟件流行態(tài)勢報告（二）主流勒索軟件趨勢我們匯總了2025年各月勒索軟件家族的月度感染量TOP10數(shù)據(jù)，發(fā)現(xiàn)通過Web漏洞傳播

的

Wea

xor

家

族

成

為

攻

擊

效

率

最

高

的

方

式

，

全

年

霸

榜

Top

1的

位

置。6

月

后

新

增

的Wmansvcs家族接棒老牌勒索軟件phobos家族

，成為傳統(tǒng)弱口令登錄攻擊方式的典型家族

。總體而言

，從2025年的傳播量上看

，弱口令攻擊仍排行第一

，但漏洞利用的傳播量已經(jīng)非常接近此類傳統(tǒng)攻擊?！馱eaxor家族廣泛使用各類Web漏洞進(jìn)行無差別持續(xù)攻擊，呈現(xiàn)出穩(wěn)定且高效的攻擊效果

。在Web漏洞修復(fù)這方面

，無論是漏洞所屬廠商還是相關(guān)客戶都存在較為嚴(yán)重的滯后性，為勒索攻擊在內(nèi)的各類攻擊提供了周期性大面積爆發(fā)的土壤。●LockBit家族持續(xù)發(fā)力

，并在年底攜新版LockBit5.0強(qiáng)勢回歸

。新版本在原有非常多樣的攻擊方式基礎(chǔ)上

，引入了電信詐騙強(qiáng)相關(guān)的木馬團(tuán)伙進(jìn)行投毒

。對勒索受害者同時造成電詐被騙、信息泄露、數(shù)據(jù)被加密并勒索的多重傷害。●Wmansvcs勒索家族繼承了phobos勒索家族的攻擊方式，只在國內(nèi)通過遠(yuǎn)程桌面暴破登錄進(jìn)行傳播。

其不與360攔截進(jìn)行對抗的佛系操作，從側(cè)面印證大量未安裝可靠防護(hù)軟件的存量設(shè)備，可為黑灰產(chǎn)提供充足的活動空間和收益來源。 第一章

勒索軟件攻擊形勢

P007

2025年勒索軟件流行態(tài)勢報告家族名稱編譯語言加密算法非對稱密鑰生成WeaxorC++Curve25519+AES128/ChaCha20內(nèi)置Curve25519公鑰WmansvcsRustRSA1024+AES256內(nèi)置RSA-1024公鑰LockBit5.0C++RSA1024+XChaCha20內(nèi)置RSA-1024公鑰BeastGolang,Delphi,

CCurve25519+ChaCha20內(nèi)置Curve25519公鑰BeijingCryptC++RSA1024+AES256內(nèi)置RSA-1024公鑰MakopC++RSA1024+AES256內(nèi)置RSA-1024公鑰MedusaLockerC++RSA2048+AES256內(nèi)置RSA-2048公鑰LokiC#RSA2048+AES256內(nèi)置RSA-2048公鑰TheGentlemenGolangX25519+XChaCha20動態(tài)生成加密KalxatC#RSA+ChaCha20動態(tài)生成加密KannC++RSA4096+AES256內(nèi)置RSA-4096公鑰FreeFixEPLRSA2048內(nèi)置RSA-2048公鑰MontelliC++RC4內(nèi)置RC4密鑰MalloxC#

C#Curve25519+AES128/ChaCha20內(nèi)置Curve25519公鑰BlackMatterC++RSA1024+Salsa20內(nèi)置RSA-1024公鑰（三）加密方式分布我們對2025年仍在活躍傳播且具有代表性的勒索軟件家族進(jìn)行了深入分析

，并統(tǒng)計了各家族所采用的編程語言、加密算法及非對稱密鑰生成方式。部分勒索軟件家族曾對其代碼進(jìn)行重構(gòu)，或針對不同操作系統(tǒng)平臺使用了不同的編程語言，因此在編程語言方面，某些家族可能出現(xiàn)多種編程語言的使用。為了加密文件，這些家族采用了多種技術(shù)手段，包括但不限于RSA、Curve25519、AES、xChaCha20、Salsa20等算法。以下是各家族采用的具體情況： 第一章

勒索軟件攻擊形勢

P008

2025年勒索軟件流行態(tài)勢報告VanHelsingC++Curve25519+ChaCha20動態(tài)生成加密CephalusGolangAES-CTR內(nèi)置AES-CTR密鑰

+生成假的AES密鑰NightspireGolangC++RSA+AES256內(nèi)置RSA公鑰BaqiyatLockC++RSA4096+AES256內(nèi)置RSA-4096公鑰ShinyHuntersC++

C++RSA2048+ChaCha20內(nèi)置RSA2048公鑰CubaC++RSA1024+ChaCha20內(nèi)置RSA-1024公鑰RansomEXXRustRSA4096+AES256內(nèi)置RSA-4096公鑰BuranDelphiRSA2048/512+AES256內(nèi)置RSA公鑰phobosC++,

DelphiC++RSA1024+AES256內(nèi)置RSA-1024公鑰TellYouThePassC#C#RSA2048+AES256內(nèi)置RSA-2048公鑰BlackBastaC++RSA4096+ChaCha20內(nèi)置RSA-4096公鑰PlayC/C++Golang,

Rust

RSA+AES內(nèi)置RSA公鑰Qilin.BRustRSA4096+AES256內(nèi)置RSA-4096公鑰MedusaC/C++RAS2048+AES256內(nèi)置RSA-2048公鑰TrigonaDelphiRSA4096+AES256內(nèi)置RSA-4096公鑰MoneyMessageC++

C++ECDH+ChaCha20ECDH生成密鑰對CactusC/C++-RSA4096+AES256內(nèi)置RSA-4096公鑰RhysidaGolang,C++RSA4096+ChaCha20內(nèi)置RSA-4096公鑰Hunters

InternationalRustC#Golang,C++

RSA4096+ChaCha20內(nèi)置RSA-4096公鑰DoNexC/C++RAS4096+ChaCha20內(nèi)置RSA-4096公鑰EMBARGORustCurve25519+ChaCha20內(nèi)置Curve25519公鑰Cicada3301RustRSA+ChaCha20內(nèi)置RSA公鑰EldoradoGolangRSA+ChaCha20內(nèi)置RSA公鑰 第一章

勒索軟件攻擊形勢

P009

2025年勒索軟件流行態(tài)勢報告 2025年代表性勒索軟件家族編寫語言及算法實現(xiàn)方案通過對

2025

年勒索軟件樣本的技術(shù)分析可以看出，當(dāng)前主流勒索軟件家族在核心加密設(shè)計上仍延續(xù)了高度一致的技術(shù)路線：以對稱加密算法完成大規(guī)模文件數(shù)據(jù)加密，輔以非對稱或橢圓曲線算法，完成密鑰保護(hù)的多級加密方案。這一模式已成為勒索軟件領(lǐng)域的事實標(biāo)準(zhǔn)，其目的在于在保證加密強(qiáng)度的同時，兼顧整體加密效率。從樣本分布來看，

RSA系列算法依然在非對稱加密階段占據(jù)主導(dǎo)地位

，其中RSA-

2048與RSA-4096被大量采用，

RSA-1024雖然在部分家族中仍有使用，但整體呈現(xiàn)出逐步弱化的趨勢。與此同時，Curve25519

/

X25519等橢圓曲線算法在2025年的勒索軟件中明顯增多，

已被多個新老家族采用，并在部分樣本中完全替代傳統(tǒng)

RSA方案

。這一變化反映出勒索軟件開發(fā)者正主動引入計算效率更高、實現(xiàn)更簡潔且具備同等級安全性的現(xiàn)代橢圓曲線密碼體系，以縮短密鑰交換階段的執(zhí)行時間并降低運(yùn)行痕跡。在對稱加密算法選擇方面

，2025年樣本中呈現(xiàn)出更加明顯的多樣化特征

。除AES-

256仍被廣泛使用外

，ChaCha20及其變體（如XChaCha20）

已成為最受青睞的替代方案，并在大量家族中與

RSA或Curve25519組合使用。同時，Salsa20、AES-CTR等算法亦在部分樣本中出現(xiàn)

，顯示出對高性能流加密算法的持續(xù)偏好

。相比傳統(tǒng)AES

，這類算法在無硬件加速或跨平臺環(huán)境下

，具備更穩(wěn)定的性能優(yōu)勢

，尤其適合Go

、Rust等新興開發(fā)語言生態(tài)。從密鑰管理方式來看，多數(shù)家族仍傾向于在樣本中內(nèi)置非對稱公鑰，以降低部署復(fù)雜度并確保加密流程穩(wěn)定；但也有少數(shù)家族開始采用動態(tài)生成密鑰或ECDH

協(xié)商機(jī)制，以進(jìn)一步提升樣本的靈活性與反溯源能力。在2025年360獨(dú)家支持了Freefix

家族的解密

，

該家族利用易語言生態(tài)系統(tǒng)中的“

.ec

”模塊文件

，構(gòu)建出了一條從開發(fā)者到終端用戶的完整攻擊鏈條

。與常規(guī)的勒索軟件傳播方式不同，

FreeFix采用“源頭帶毒

”策略，將攻擊目標(biāo)直接鎖定在了軟件開發(fā)這一環(huán)節(jié)上，讓開發(fā)者在不知情的情況下成為了惡意代碼的傳播者?？傮w而言

，2025年勒索軟件在加密方案的整體架構(gòu)上已趨于成熟

，主流家族均在多級加密這一既定框架內(nèi)進(jìn)行演進(jìn)。值得關(guān)注的是，優(yōu)化重點(diǎn)正從“加密方案設(shè)計”轉(zhuǎn)向“算法實現(xiàn)效率與運(yùn)行性能”，無論是引入

Curve25519，還是大規(guī)模采用

ChaCha20，均體現(xiàn)出勒索軟件開發(fā)者在提升執(zhí)行效率、降低異常行為暴露風(fēng)險方面的持續(xù)投入。 第一章

勒索軟件攻擊形勢

P010

2025年勒索軟件流行態(tài)勢報告二勒索軟件傳播方式下圖展示了2025年攻擊者在投放勒索軟件時所采用的各種入侵方式的占比情況

。根據(jù)統(tǒng)計可以觀察到：遠(yuǎn)程桌面入侵仍然是導(dǎo)致用戶計算機(jī)感染勒索軟件的主要途徑，利用漏洞對目標(biāo)網(wǎng)絡(luò)實現(xiàn)入侵的占比持續(xù)且穩(wěn)定，雖然總體占比仍位居第二，但與傳統(tǒng)通過遠(yuǎn)程桌面入侵量的占比已相差無幾，說是并列第一也并不為過。通過對勒索軟件在2025年的具體傳播案例進(jìn)行分析

，發(fā)現(xiàn)位列前三的傳播與入侵方式呈現(xiàn)出當(dāng)前占比分布情況的主要原因如下：1、遠(yuǎn)程桌面入侵遠(yuǎn)程桌面入侵依然是國內(nèi)最頻發(fā)的勒索攻擊手段。此類攻擊手段由來已久，有著一套非常成熟的入侵方案和現(xiàn)成工具軟件。同時，數(shù)量眾多的中小型企業(yè)，始終未對這類安全隱患 第一章

勒索軟件攻擊形勢

P011

2025年勒索軟件流行態(tài)勢報告采取有效的防范措施，這也是讓遠(yuǎn)程桌面入侵常年穩(wěn)居最受攻擊者青睞的入侵手段榜首的重要原因。2、漏洞利用2025年通過漏洞利用發(fā)起的勒索攻擊量，

已經(jīng)非常接近遠(yuǎn)程桌面登錄的攻擊方式

。而在各類應(yīng)用的漏洞利用中

，針對Web應(yīng)用或嵌入Web組件的各類管理系統(tǒng)的漏洞攻擊是所有漏洞利用類攻擊中的重災(zāi)區(qū)

。使用這類攻擊手段的典型代表是Weaxor家族

，而該家族是Mallox家族的品牌重塑版本，其在2025年的攻擊態(tài)勢連續(xù)霸榜TOP榜單。3、數(shù)據(jù)庫弱口令與遠(yuǎn)程桌面入侵情形類似，數(shù)據(jù)庫弱口令問題也是中小型企業(yè)——甚至一些大型企業(yè)中較為廣泛存在的安全隱患。不過相對而言，此類入侵方式的效率較低并且對入侵者的“字典規(guī)?！庇兄欢ǖ囊?，所以此類攻擊的總體占比并不像遠(yuǎn)程桌面入侵一樣高。令人欣慰的是，隨著現(xiàn)在各企業(yè)對內(nèi)的安全培訓(xùn)制度完善，此類隱患也相對容易防范，故此數(shù)據(jù)庫弱口令入侵在2025年的總體占比情況有著較為明顯的下降。 第一章

勒索軟件攻擊形勢

P012

2025年勒索軟件流行態(tài)勢報告三多重勒索與數(shù)據(jù)泄露近年來

，通過雙重勒索或多重勒索模式獲利的勒索軟件攻擊團(tuán)伙越來越多

。2025年360反勒索也第一時間捕獲了LockBit5

.0版死灰復(fù)燃后引入社會工程學(xué)攻擊渠道的實錘案例，證實了以往安全廠商與監(jiān)管部門對這個熱門家族新增傳播方式的猜測。 第一章

勒索軟件攻擊形勢

P013

2025年勒索軟件流行態(tài)勢報告（一）行業(yè)統(tǒng)計與去年頭部行業(yè)分布相對平均有明顯區(qū)別

，2025年受數(shù)據(jù)泄露影響的行業(yè)分布較為集中地出現(xiàn)在服務(wù)業(yè)與制造業(yè)兩大類

。除此之外

，建筑業(yè)

、醫(yī)療業(yè)

、金融保險等行業(yè)緊隨其后，分列在第三至第五位。推測出現(xiàn)這一變化的主要原因與今年勒索軟件的主要攻擊目標(biāo)向中大型企業(yè)傾斜有關(guān)聯(lián)。相對而言，服務(wù)業(yè)與制造業(yè)的相關(guān)企業(yè)中，內(nèi)部網(wǎng)絡(luò)中往往擁有較大規(guī)模的計算機(jī)設(shè)備，這也就造成了勒索攻擊對這兩個行業(yè)的攻擊更為集中。此外，教育、能源行業(yè)也進(jìn)入了數(shù)據(jù)泄露的前十位，而醫(yī)療行業(yè)更是在前五位。這些敏感行業(yè)受到大量勒索攻擊而導(dǎo)致數(shù)據(jù)泄露，也需要相關(guān)企事業(yè)單位對勒索攻擊的防護(hù)更加重視。（二）國家與地區(qū)分布從數(shù)據(jù)泄露機(jī)構(gòu)所在地分布情況來看

，

美國機(jī)構(gòu)的占比依然穩(wěn)居全球首位

，

相較2024年度有小幅提升

，但總體變化不大

。美國機(jī)構(gòu)常年位居榜首

，一方面是由于美國網(wǎng)絡(luò)發(fā)達(dá)且企業(yè)眾多，同時也與其發(fā)達(dá)的云服務(wù)產(chǎn)業(yè)與設(shè)備托管業(yè)務(wù)有關(guān)。 第一章

勒索軟件攻擊形勢

P014

2025年勒索軟件流行態(tài)勢報告需要說明的是，以上數(shù)據(jù)來自各勒索軟件的公開數(shù)據(jù)，各勒索軟件家族手中究竟還有多少尚未公開的數(shù)據(jù)，或是由于已支付贖金等原因不被公開的數(shù)據(jù)，外界無從知曉也無法進(jìn)行統(tǒng)計分析。 第一章

勒索軟件攻擊形勢

P015

2025年勒索軟件流行態(tài)勢報告下圖為根據(jù)全球地區(qū)分布數(shù)據(jù)所繪制的更加直觀的地區(qū)分布圖：（三）家族統(tǒng)計2025年參與雙重/多重勒索活動的主要活躍勒索軟件家族共計122個

。家族總量與2024年相比有顯著增加

，增幅近三成

。這一方面是由于有越來越多的勒索軟件家族，加入了多重勒索的隊伍中，另一方面也是由于新增勒索軟件，往往更傾向于采取這種更為有效的勒索模式所致。具體的占比分布情況如下圖所示。通過對2025年雙重/多重勒索軟件的占比分布數(shù)據(jù)進(jìn)行分析，不難發(fā)現(xiàn)Top10中的頭部家族占比處于主導(dǎo)地位

。而未被列出的“其他

”家族占比大幅提升

，顯示出了較為明顯的“長尾

”態(tài)勢

，這一點(diǎn)與參與雙重/多重勒索活動的主要活躍勒索軟件家族數(shù)量大幅提升有關(guān)。 第一章

勒索軟件攻擊形勢

P016

2025年勒索軟件流行態(tài)勢報告（四）逐月統(tǒng)計從數(shù)據(jù)泄露的相關(guān)統(tǒng)計來看，總體有一定的波動，但并未出現(xiàn)較大規(guī)模的爆發(fā)現(xiàn)象。2025年各月的數(shù)據(jù)泄露機(jī)構(gòu)數(shù)量延續(xù)了2024年平穩(wěn)的態(tài)勢，但在2月和10月后出現(xiàn)了兩個較為明顯的峰值

。結(jié)合目前已公開的勒索事件判斷

，2月的高峰數(shù)據(jù)與Clop采用了PaloAlto

Network的漏洞入侵手段有關(guān)

。而年底的一波峰值數(shù)據(jù)，則主要是受到了Oracle漏洞的影響。 第一章

勒索軟件攻擊形勢

P017

2025年勒索軟件流行態(tài)勢報告（五）數(shù)據(jù)泄露的多重影響：商業(yè)、法律與聲譽(yù)風(fēng)險隨著數(shù)字化和信息化的深入發(fā)展，數(shù)據(jù)已成為企業(yè)最核心的資產(chǎn)。然而，信息技術(shù)的快速演進(jìn)也帶來了數(shù)據(jù)泄露事件頻發(fā)的挑戰(zhàn)，對企業(yè)產(chǎn)生深遠(yuǎn)影響。這些影響不僅包括直接的經(jīng)濟(jì)損失，還涉及企業(yè)聲譽(yù)、合規(guī)要求以及運(yùn)營連續(xù)性等多個層面。在勒索軟件和其他網(wǎng)絡(luò)安全威脅不斷增加的背景下，數(shù)據(jù)泄露已成為全球各行各業(yè)亟須重視和應(yīng)對的重要問題。近年來，勒索攻擊模式不斷演變。傳統(tǒng)的勒索攻擊主要通過加密關(guān)鍵數(shù)據(jù)索要贖金，而新興的數(shù)據(jù)勒索策略則更加復(fù)雜，破壞性更強(qiáng)。企業(yè)在遭遇數(shù)據(jù)泄露時，不僅面臨數(shù)據(jù)被加密或外泄問題，還可能同時遭受攻擊者的多重威脅與敲詐。這種變化意味著企業(yè)需要從多個維度理解數(shù)據(jù)泄露的潛在風(fēng)險，并采取綜合防護(hù)和應(yīng)對策略，以降低經(jīng)濟(jì)、法律和聲譽(yù)等方面的損失。聲譽(yù)風(fēng)險：品牌形象受損與客戶信任危機(jī)聲譽(yù)風(fēng)險是數(shù)據(jù)泄露帶來的最直接后果。當(dāng)企業(yè)數(shù)據(jù)遭到泄露或篡改時，客戶和公眾對企業(yè)的信任度會顯著下降。攻擊者常通過多種手段加劇信任危機(jī)，包括：●直接威脅客戶攻擊者利用被竊取的數(shù)據(jù)直接聯(lián)系客戶，警告其個人信息可能泄露

，甚至要求支付費(fèi)用以避免進(jìn)一步信息暴露

。此類行為不僅增加受害者心理壓力，還削弱客戶對企業(yè)的信任?！癫倏孛襟w輿論攻擊者可能借助媒體曝光事件，放大輿論壓力

，甚至將新聞報道鏈接嵌入贖金頁面，迫使企業(yè)在公眾壓力下妥協(xié)。 第一章

勒索軟件攻擊形勢

P018

2025年勒索軟件流行態(tài)勢報告聲譽(yù)受損會影響客戶忠誠度和市場份額，恢復(fù)過程可能耗時多年。企業(yè)應(yīng)投入足夠資源進(jìn)行數(shù)據(jù)保護(hù)，同時建立危機(jī)公關(guān)機(jī)制，以便在事件發(fā)生時及時管理輿情。數(shù)據(jù)競拍：非法數(shù)據(jù)交易的經(jīng)濟(jì)驅(qū)動隨著數(shù)據(jù)泄露事件增加，非法數(shù)據(jù)交易市場逐漸成熟。勒索團(tuán)伙不僅通過贖金獲利，還通過數(shù)據(jù)競拍獲取額外收益，包括：●數(shù)據(jù)拍賣勒索團(tuán)伙通過黑市網(wǎng)站或平臺公開拍賣竊取的數(shù)據(jù)，包括企業(yè)敏感信息

、客戶資料及內(nèi)部文件，以高價售賣給其他犯罪分子或競爭對手?！癜咐治鲆訠lackSuit（又名Royal）及其關(guān)聯(lián)平臺為例，該團(tuán)伙在2025年通過精密化的競拍模式實現(xiàn)了利潤最大化

。執(zhí)法部門行動中，查封了其暗網(wǎng)泄露及談判站點(diǎn)，扣押了約109萬美元的虛擬貨幣。這些現(xiàn)象顯示出非法數(shù)據(jù)交易市場的繁榮，企業(yè)不僅面臨贖金的威脅，還可能因數(shù)據(jù)被公開交易而遭受更大的商業(yè)損失。因此，企業(yè)在網(wǎng)絡(luò)安全建設(shè)中，必須加強(qiáng)對敏感數(shù)據(jù)的保護(hù)，減少數(shù)據(jù)泄露的可能性，并對數(shù)據(jù)的流向進(jìn)行有效監(jiān)控。合規(guī)壓力：法律法規(guī)的嚴(yán)格要求隨著全球范圍內(nèi)網(wǎng)絡(luò)安全法規(guī)的不斷完善，企業(yè)在遭遇數(shù)據(jù)泄露事件時，必須面對更加嚴(yán)格的法律和合規(guī)壓力。許多國家和地區(qū)對數(shù)據(jù)泄露事件的報告要求已經(jīng)變得愈加嚴(yán)格，企業(yè)如果未能及時報告，可能會面臨嚴(yán)厲的罰款和法律后果?！耠[瞞事件的后果許多企業(yè)在遭遇勒索軟件攻擊或數(shù)據(jù)泄露時，可能會選擇隱瞞事件，試圖通過支付贖金解決問題

，而不向公眾或監(jiān)管機(jī)構(gòu)報告

。這種做法雖然可能暫時緩解企業(yè)的壓力， 第一章

勒索軟件攻擊形勢

P019

2025年勒索軟件流行態(tài)勢報告但一旦被揭露，企業(yè)將面臨更為嚴(yán)峻的法律制裁。例如，韓國最大移動運(yùn)營商

SK

電信公司（SK

Telecom

Co.

）2025年8月收到了

1348

億韓元的罰單。韓國個人信息保護(hù)委員會（Personal

Information

Protection

Commission，簡稱

PIPC）對

SK電信作出處罰，理由是該公司未能履行用戶數(shù)據(jù)保護(hù)義務(wù)，且未及時上報數(shù)據(jù)泄露事件。韓國媒體及公眾也對此多有不滿。企業(yè)在面臨數(shù)據(jù)泄露時，必須嚴(yán)格遵守相關(guān)法律法規(guī)，確保及時向監(jiān)管機(jī)構(gòu)報告事件，并配合相關(guān)調(diào)查。通過加強(qiáng)合規(guī)性，企業(yè)可以避免不必要的罰款，同時提升公眾和監(jiān)管機(jī)構(gòu)對企業(yè)的信任度。業(yè)務(wù)中斷：運(yùn)營能力的系統(tǒng)性受損數(shù)據(jù)泄露事件不僅會導(dǎo)致企業(yè)聲譽(yù)受損，還會對企業(yè)的正常運(yùn)營產(chǎn)生嚴(yán)重影響。在數(shù)據(jù)被加密或備份失效的情況下，企業(yè)的關(guān)鍵業(yè)務(wù)系統(tǒng)可能無法及時恢復(fù)，進(jìn)而影響日常運(yùn)營和服務(wù)交付。特別是在一些關(guān)鍵行業(yè)，數(shù)據(jù)泄露可能導(dǎo)致災(zāi)難性的后果?！襻t(yī)療行業(yè)2025年5月

KetteringHealth

全線停擺事件：2025年5月20日，美國俄亥俄州醫(yī)療系統(tǒng)

Kettering

Health

遭遇大規(guī)模勒索軟件攻擊，導(dǎo)致其旗下

14家醫(yī)院的IT系統(tǒng)全線崩潰

。此次攻擊迫使該醫(yī)療系統(tǒng)不得不取消所有非緊急住院和門診手術(shù)，禁用患者門戶網(wǎng)站（MyChart），并導(dǎo)致急診室（

ER）被迫采取“救護(hù)車分流

”措施，將急救患者轉(zhuǎn)運(yùn)至其他醫(yī)療機(jī)構(gòu)。●工業(yè)和制造行業(yè)2025年Nucor鋼鐵公司生產(chǎn)停滯事件

：2025年5月

，北美最大的鋼鐵生產(chǎn)商N(yùn)ucorCorporation遭到網(wǎng)絡(luò)攻擊

，導(dǎo)致其在美國

、墨西哥和加拿大的多處生產(chǎn)設(shè)施被迫停工

。由于關(guān)鍵運(yùn)營系統(tǒng)受到威脅，公司不得不采取緊急離線措施

。此類針對重工業(yè)基礎(chǔ)設(shè)施的攻擊，不僅造成了數(shù)百萬美元的直接產(chǎn)值損失

，更對下游建筑與汽車供應(yīng)鏈產(chǎn)生了連鎖震蕩。 第一章

勒索軟件攻擊形勢

P020

2025年勒索軟件流行態(tài)勢報告因此，企業(yè)必須采取有效的業(yè)務(wù)連續(xù)性管理措施，確保關(guān)鍵數(shù)據(jù)和系統(tǒng)能夠在數(shù)據(jù)泄露或攻擊事件發(fā)生后盡快恢復(fù)，以減少對運(yùn)營的影響。經(jīng)濟(jì)損失：直接與間接成本的雙重壓力勒索攻擊的直接后果是企業(yè)需支付贖金，但其經(jīng)濟(jì)損失遠(yuǎn)不止于此。企業(yè)還需要承擔(dān)由于數(shù)據(jù)泄露導(dǎo)致的業(yè)務(wù)中斷、數(shù)據(jù)恢復(fù)、法律訴訟等一系列間接費(fèi)用。企業(yè)的財務(wù)狀況可能因此受到嚴(yán)重影響。法律責(zé)任：隱私泄露引發(fā)的巨額賠償數(shù)據(jù)泄露事件不僅涉及企業(yè)的合規(guī)問題，還可能引發(fā)客戶和員工的集體訴訟，導(dǎo)致企業(yè)面臨巨額賠償。在一些情況下，客戶會對企業(yè)未能有效保護(hù)個人數(shù)據(jù)提出訴訟，要求賠償因數(shù)據(jù)泄露而產(chǎn)生的經(jīng)濟(jì)損失。●典型案例Cencora（美源伯根）2.87億元賠償案（2025年8月）：2025年8月，美國醫(yī)藥巨頭Cencora（原名美源伯根）同意支付2.87億元人民幣（約

4000萬美元），以和解一項針對2024年大規(guī)模數(shù)據(jù)泄露的集體訴訟

。該事件涉及27家制藥公司

、超過143萬名患者的敏感健康記錄

。原告指控公司在發(fā)現(xiàn)系統(tǒng)漏洞后

，未能及時采取防護(hù)措施，導(dǎo)致患者面臨長期的個人隱私暴露風(fēng)險。 第一章

勒索軟件攻擊形勢

P021

2025年勒索軟件流行態(tài)勢報告四勒索軟件家族更替 第一章

勒索軟件攻擊形勢

P022

2025年勒索軟件流行態(tài)勢報告月份新增傳統(tǒng)勒索軟件2025年1月Contacto、Codefinger、D0glun2025年2月CipherLocker、Vgod、LCRYX、Adver2025年3月MoroccanDragons、AptLock、Mamona2025年4月Asasin、Maximsru、CrypteVex、NanoCrypt、Jeffery2025年5月Bert、Kalxat、Lyrix、PowerLocker、YE1337、Mammon2025年6月Wmansvcs、UraLocker、SafeLocker、VerdaCrypt、DireWolf2025年7月Darkness、Walocker、Mino、SpiderPery、Xentari、Nebula、Cephalus、Pear、Charon2025年9月SnowSoul、HybridPetya、Monrans2025年10月Monkey、ThunderKitty、BrawLocker2025年11月QuickLock、Kazu、BlackHeolas2025年12月MiddCrypto、Marabu（一）每月新增傳統(tǒng)勒索情況360安全智能體監(jiān)控到

，每月都不斷有新的勒索軟件出現(xiàn)

。以下是2025年每月新出現(xiàn)的傳統(tǒng)勒索軟件(僅通過加密文件對受害者進(jìn)行勒索)的部分記錄信息，共計46款：2025年各月新增傳統(tǒng)勒索軟件家族 第一章

勒索軟件攻擊形勢

P023

2025年勒索軟件流行態(tài)勢報告 2025年各月新增傳統(tǒng)勒索軟件家族針對以上新增勒索軟件家族，我們對其中幾個典型家族進(jìn)行具體介紹：WmansvcsWmansvcs是phobos家族的衍生版本，2025年6月出現(xiàn)后持續(xù)活躍并成為國內(nèi)勒索量Top2的家族

。相關(guān)勒索團(tuán)伙通過某個全年均未改變過的攻擊IP進(jìn)行遠(yuǎn)程桌面登錄投毒與橫向滲透

，并只攻擊國內(nèi)用戶

。這個家族在2025年有兩個后綴分支的版本

，分別是.

peng與.wman。值得注意的是，在我們接到的受害者求助中，其設(shè)備中招前均未使用360終端安全產(chǎn)品進(jìn)行防護(hù)，這表明，當(dāng)下黑產(chǎn)團(tuán)伙無需考慮繞過安全防護(hù)軟件即可獲利。BertBert勒索家族在2025年5月出現(xiàn)

，攻擊Windows與Linux平臺

。此家族采用Linux原生的ELF文件格式構(gòu)建惡意

payload，這表明其開發(fā)者專門針對Linux系統(tǒng)的底層架構(gòu)進(jìn)行了優(yōu)化

。ELF文件是Linux系統(tǒng)中可執(zhí)行文件

、共享庫和目標(biāo)文件的標(biāo)準(zhǔn)格式

，這意味著 第一章

勒索軟件攻擊形勢

P024

2025年勒索軟件流行態(tài)勢報告MonkeyMonkey勒索家族出現(xiàn)于2025年10月

，攻擊Windows與Linux平臺

。該家族具有明顯的AI生成痕跡，尤其是在其Linux版本的樣本中，存在刪除Windows卷影副本的代碼。這種代碼實現(xiàn)方式顯示出與傳統(tǒng)人工編寫惡意代碼不同的特征

，暗示了攻擊者可能利用AI技術(shù)來輔助開發(fā)勒索軟件

，以提高攻擊效率和隱蔽性。AI技術(shù)的引入可能使得該勒索軟件在代碼生成、漏洞利用等方面具有更強(qiáng)的適應(yīng)性和創(chuàng)新性，給安全防護(hù)帶來了新的挑戰(zhàn)。Bert勒索軟件能夠直接在Linux環(huán)境中運(yùn)行

，無需依賴兼容性層或仿真工具，從而提升了攻擊的隱蔽性和執(zhí)行效率

。該勒索家族的出現(xiàn)

，與近年來Linux系統(tǒng)在關(guān)鍵基礎(chǔ)設(shè)施中的普及密切相關(guān)。Bert勒索軟件試圖通過加密關(guān)鍵業(yè)務(wù)系統(tǒng)和數(shù)據(jù)來實現(xiàn)勒索收益最大化。 第一章

勒索軟件攻擊形勢

P025

2025年勒索軟件流行態(tài)勢報告KalxatKalxat勒索家族在2025年5月出現(xiàn)并僅在國內(nèi)傳播。該新型勒索軟件展現(xiàn)出精密的攻擊架構(gòu)

，其采用模塊化設(shè)計

，將勒索信內(nèi)容

、加密文件擴(kuò)展名

、RSA公鑰等核心參數(shù)封裝于獨(dú)立配置文件，支持攻擊者針對不同目標(biāo)快速生成定制化變種，同時通過動態(tài)調(diào)整加密策略實現(xiàn)差異化攻擊——對數(shù)據(jù)庫等關(guān)鍵數(shù)據(jù)實施全量加密，對非核心文件采用部分加密以提升攻擊效率。 第一章

勒索軟件攻擊形勢

P026

2025年勒索軟件流行態(tài)勢報告SnowSoulSnowSoul勒索家族在2025年9月出現(xiàn)并僅在國內(nèi)傳播

。該家族采用對稱加密與非對稱加密相結(jié)合的混合方案來加密受害者文件，具有傳播快、干擾面廣、對生產(chǎn)業(yè)務(wù)影響顯著等 第一章

勒索軟件攻擊形勢

P027

2025年勒索軟件流行態(tài)勢報告（二）每月新增雙重、多重勒索情況另經(jīng)統(tǒng)計發(fā)現(xiàn)

，2025年各月也時常出現(xiàn)新的勒索軟件加入雙重/多重勒索模式的行列中

。僅360安全智能體監(jiān)控到的此類雙重/多重勒索軟件家族

，在本年度就共計新增40個

。近年來還出現(xiàn)了具體家族名及出現(xiàn)時間分布如下：特點(diǎn)

。360反勒索服務(wù)對其進(jìn)行了解密支持，但由于作者并未落網(wǎng)

，其后續(xù)的變種版本需根據(jù)具體的變種文件分析算法后，重新評估解密方案。 第一章

勒索軟件攻擊形勢

P028

2025年勒索軟件流行態(tài)勢報告月份新增雙重/多重勒索軟件家族勒索模式2025年1月GDLockerSec加密文件,數(shù)據(jù)泄露2025年2月RunSomeWares加密文件,數(shù)據(jù)泄露2025年3月Crazyhunter加密文件,數(shù)據(jù)泄露Babuk2加密文件,數(shù)據(jù)泄露Nightspire加密文件,數(shù)據(jù)泄露Ralord加密文件,數(shù)據(jù)泄露VanHelsing加密文件,數(shù)據(jù)泄露Skira加密文件,數(shù)據(jù)泄露2025年4月Devman加密文件,數(shù)據(jù)泄露Gunra加密文件,數(shù)據(jù)泄露Silent加密文件,數(shù)據(jù)泄露Nova加密文件,數(shù)據(jù)泄露2025年5月J加密文件,數(shù)據(jù)泄露Datacarry加密文件,數(shù)據(jù)泄露DireWolf加密文件,數(shù)據(jù)泄露Worldleaks加密文件,數(shù)據(jù)泄露2025年6月WarLock加密文件,數(shù)據(jù)泄露Kawalocker加密文件,數(shù)據(jù)泄露TeamXXX加密文件,數(shù)據(jù)泄露2025年7月BaqiyatLock加密文件,數(shù)據(jù)泄露Satanlockv2加密文件,數(shù)據(jù)泄露 第一章

勒索軟件攻擊形勢

P029

2025年勒索軟件流行態(tài)勢報告2025年每月新增多重勒索軟件月份新增雙重/多重勒索軟件家族勒索模式2025年8月Desolator加密文件,數(shù)據(jù)泄露2025年9月TheGentlemen加密文件,數(shù)據(jù)泄露CoinbaseCartel加密文件,數(shù)據(jù)泄露Miga加密文件,數(shù)據(jù)泄露Arachna加密文件,數(shù)據(jù)泄露WhiteLock加密文件,數(shù)據(jù)泄露2025年10月Tengu加密文件,數(shù)據(jù)泄露Kyber加密文件,數(shù)據(jù)泄露Genesis加密文件,數(shù)據(jù)泄露Brotherhood加密文件,數(shù)據(jù)泄露Radiant加密文件,數(shù)據(jù)泄露Nasirsecurity加密文件,數(shù)據(jù)泄露2025年11月Tridentlocker加密文件,數(shù)據(jù)泄露2025年12月MintEye加密文件,數(shù)據(jù)泄露MS13-089加密文件,數(shù)據(jù)泄露Sicari加密文件,數(shù)據(jù)泄露Osiris加密文件,數(shù)據(jù)泄露Dark

Shinigamis加密文件,數(shù)據(jù)泄露 第一章

勒索軟件攻擊形勢

P030

2025年勒索軟件流行態(tài)勢報告

2025年各月新增雙重/多重勒索軟件家族針對以上新增雙重/多重勒索軟件家族，我們對其中幾個典型家族進(jìn)行具體的說明：KawaLockerKawaLocker勒索家族，也被稱為KAWA4096，是一個于2025年6月首次出現(xiàn)的新型勒索軟件。該家族在發(fā)展早期就獲得了較高的關(guān)注度，其部分特征與其他勒索軟件變種存在相似之處

，例如

，其數(shù)據(jù)泄露網(wǎng)站設(shè)計與Akira勒索軟件的泄露網(wǎng)站相似

，而勒索信則與Qilin勒索軟件幾乎相同。KawaLocker勒索家族在攻擊過程中，會通過遠(yuǎn)程桌面協(xié)議訪問受害者的設(shè)備。登錄后采用多種手段識別和致盲受害設(shè)備上的安全工具，包括部署kill.exe與HRSword

。HRSword旨在監(jiān)控各種系統(tǒng)組件，能讓攻擊者獲得對整個系統(tǒng)的可見性與結(jié)束任意進(jìn)程。 第一章

勒索軟件攻擊形勢

P031

2025年勒索軟件流行態(tài)勢報告 KawaLocker家族發(fā)布頁DireWolfDireWolf是一個于2025年5月出現(xiàn)的勒索軟件組織，采用雙重勒索模型，主要針對制造業(yè)和科技行業(yè)，活動范圍覆蓋全球多個國家。其中亞太地區(qū)為核心目標(biāo)，包括美國、泰國、臺灣、新加坡、印度等地區(qū)。該組織以其高度專業(yè)化的攻擊策略和技術(shù)成熟度著稱，被認(rèn)為是繼LockBit和Conti等老牌勒索家族后崛起的新興威脅。Dire

Wolf采

用

Go

lang

編

寫

，

具

有

跨

平

臺

特

性。結(jié)

合

Curve2

5

5

1

9

密

鑰

交

換

和ChaCha20流加密算法，加密強(qiáng)度高，且每個文件生成隨機(jī)會話密鑰。 第一章

勒索軟件攻擊形勢

P032

2025年勒索軟件流行態(tài)勢報告以上為DireWolf家族的發(fā)布頁WarLockWarLock勒索家族是一個具有較高威脅性的勒索軟件，基于泄露的LockBit

3.0構(gòu)建器定制的衍生版本。該家族主要通過攻擊企業(yè)級網(wǎng)絡(luò)，加密受害者數(shù)據(jù)以勒索贖金，采用了勒索軟件即服務(wù)（RaaS）模式

，并且在攻擊過程中展現(xiàn)出了復(fù)雜的戰(zhàn)術(shù)

、技術(shù)和流程，對全球多個行業(yè)的組織造成了嚴(yán)重影響。W

a

r

L

o

c

k

勒

索

家

族

的

主

要

初

始

訪

問

途

徑

是

利

用

M

i

c

r

o

s

o

f

tSharePoint服務(wù)器的多個高危漏洞

，形成所謂的ToolShell組合攻擊

，其中包括CVE-

2

0

2

5

-

4

9

7

0

4、

CVE

-

2

0

2

5

-

4

9

7

0

6、

CVE

-

2

0

2

5

-

5

3

7

7

0

和

CVE

-

2

0

2

5

-

53771等。攻擊者通過向SharePoint服務(wù)器的ToolPane端點(diǎn)發(fā)送惡意POST請求，繞過身份

驗

證

并

實

現(xiàn)

遠(yuǎn)

程

代

碼

執(zhí)

行

，

進(jìn)

而

部

署

A

S

P

Xw

e

b

s

he

ll

，

以

獲

取

對

服

務(wù)

器

的

初

始

控

制

權(quán)。在

成

功

利

用

漏

洞

后

，

攻

擊

者

會

通

過we

b

以上為WarLock家族的官方頁面NightspireNightspire勒索家族最早出現(xiàn)于2025年3月，有高度可能性是Rbfs勒索團(tuán)伙的變種或品牌重塑。從多方面證據(jù)來看，兩團(tuán)伙存在密切關(guān)聯(lián)：首先，它們共享操作員，且已知受害者重疊；

其次，

隨著Nightspire的出現(xiàn)，

Rbfs勒索團(tuán)伙在網(wǎng)上的相關(guān)引用已停止；

再者， 第一章

勒索軟件攻擊形勢

P033

2025年勒索軟件流行態(tài)勢報告Nightspire的泄露網(wǎng)站顯示，至少有兩名受害者此前曾被Rbfs勒索團(tuán)伙聲稱攻擊過。該家族有兩名已知附屬機(jī)構(gòu)xdragon128和cuteliyuan，他們早在2025年3月就曾在線推廣Rbfs勒索軟件。2025年3月2日，

xdragon128在BreachForums2上宣傳Rbfs勒索軟件攻擊的受害者；幾天后的3月6日

，cuteliyuan分享了一個Telegram鏈接以展示該團(tuán)伙的受害者，但該頻道已不再活躍。Nightspire是一個以經(jīng)濟(jì)利益為驅(qū)動的團(tuán)伙

，采用機(jī)會主義策略，針對所有行業(yè)發(fā)起攻擊。其主要目的是從目標(biāo)中竊取敏感信息，通過勒索或?qū)⑹芎φ邤?shù)據(jù)出售給第三方來獲利。該團(tuán)伙在竊取數(shù)據(jù)后

，還會部署有效載荷對數(shù)據(jù)進(jìn)行加密

。Nightspire在2025年已對受害者數(shù)據(jù)進(jìn)行加密，這表明該團(tuán)伙已從僅進(jìn)行數(shù)據(jù)勒索的運(yùn)營模式轉(zhuǎn)變?yōu)楦鼈鹘y(tǒng)的雙重勒索模式。Nightspire利用了CVE-2024-55591，這是一個FortiOS零日漏洞

，允許未授權(quán)的攻擊者在不提供有效憑證的情況下

，獲得對Fortigate防火墻設(shè)備的超級管理員訪問權(quán)限

。該團(tuán)伙設(shè)有一個名為“We

say”的“點(diǎn)名羞辱”頁面，專門針對不付款的受害者。該頁面上的內(nèi)容包括受害者的公司名稱、關(guān)于可用被盜數(shù)據(jù)的公告，在某些情況下還包括免費(fèi)下載鏈接。 第一章

勒索軟件攻擊形勢

P034

2025年勒索軟件流行態(tài)勢報告 以上為Nightspire家族的“Wesay”頁面BaqiyatLockBaqiyatLock勒索家族(又稱BQTLock),最早出現(xiàn)于2025年7月

，采用勒索軟件即服務(wù)（RaaS）模式運(yùn)營

。該家族與據(jù)稱是親巴勒斯坦黑客組織Liwaa

Mohammed的領(lǐng)導(dǎo)人“ZerodayX”相關(guān)聯(lián)，

ZerodayX還與沙特游戲數(shù)據(jù)泄露事件有關(guān)。BaqiyatLock主要通過惡意ZIP檔案進(jìn)行分發(fā)

，該檔案包含名為Update.exe的文件，負(fù)責(zé)加密本地所有類型的文件，附加自定義擴(kuò)展名，并放置帶有說明的勒索通知。攻擊者還可能利用服務(wù)漏洞、釣魚活動、軟件漏洞和供應(yīng)鏈攻擊等方式獲取初始訪問權(quán)限。這個黑客組織的負(fù)責(zé)人在社交媒體上較為活躍，在積極推廣的同時還經(jīng)常與安全分析人員互相嘲諷，算是一個比較有意思的插曲。 第一章

勒索軟件攻擊形勢

P035

2025年勒索軟件流行態(tài)勢報告

以上為BaqiyatLock家族修改的桌面壁紙VanHelsingVanHelsing勒索軟件組織最早出現(xiàn)于2025年3月

，采用勒索軟件即服務(wù)（RaaS）模式運(yùn)作。其已經(jīng)展示了快速的增長和致命的潛力，知名的合作方可以免費(fèi)加入，而新合作方必須支付5000美元的押金才能獲得該計劃的訪問權(quán)限

。在受害者支付贖金的兩筆區(qū)塊鏈確認(rèn)之后，合作方將獲得80%的收入，其余20%支付給RaaS運(yùn)營商。合作方提供了一個易于使用的控制面板來管理攻擊，

并且有一個跨平臺的加密工具Van

Helsing，

它針對包括“Windows

、Linux

、BSD

、ARM和VMware

ESXi系統(tǒng)

”在內(nèi)的各種系統(tǒng)

。由于該家族代碼實現(xiàn)層面存在缺陷，導(dǎo)致部分加密場景即使有準(zhǔn)確的解密工具也會無法解密。值得注意的是，該組織的源碼很快就被完整泄露，進(jìn)而導(dǎo)致后續(xù)此家族的活躍度降低。 第一章

勒索軟件攻擊形勢

P036

2025年勒索軟件流行態(tài)勢報告

以上為VanHelsing家族勒索信TheGentlemenThe

Gentlemen勒索家族是2025年新出現(xiàn)的高度活躍威脅組織，

首次被發(fā)現(xiàn)于2025年7月，其快速擴(kuò)張使其成為年度最受關(guān)注的勒索團(tuán)伙之一。該組織名稱疑似借鑒蓋

·里奇電影《紳士們》，并采用專業(yè)品牌形象，包括暗網(wǎng)泄漏站點(diǎn)和定制化勒索信。支持平臺包括Windows、Linux、VMware

EXSI、UNIX、NAS。The

Gentlemen勒索軟件采用Go語言開發(fā)，通過強(qiáng)制密碼參數(shù)限制執(zhí)行環(huán)境，防止在分析環(huán)境中運(yùn)行

。命令行參數(shù)支持定制化加密目標(biāo)

、速度和模式

。結(jié)合X25519密鑰交換和XChaCha20流密碼算法

，為每個文件生成唯一密鑰和隨機(jī)數(shù)

。對小于1MB的文件進(jìn)行全加密

，大于1MB的文件則采用分段加密以平衡效率

。攻擊時會利用合法驅(qū)動ThrottleStop.sys的CVE-2025-7771漏洞執(zhí)行BYOVD攻擊

，終止EDR防護(hù)進(jìn)程

。Windows下通過組策略操縱實現(xiàn)域內(nèi)傳播

。在Linux系統(tǒng)中，通過system-level

autostart實現(xiàn)持久化

，并支持從普通用戶權(quán)限提升至root權(quán)限。 第一章

勒索軟件攻擊形勢

P037

2025年勒索軟件流行態(tài)勢報告

以上為The

Gentlemen家族的發(fā)布頁CephalusCephalus勒索家族于2025年6月首次被發(fā)現(xiàn)

，名稱來源于希臘神話中手持“無虛發(fā)之矛

”的人物Cephalus

，象征其對攻擊成功率的自信

。該家族為純金融動機(jī)的勒索組織

，采用數(shù)據(jù)竊取+文件加密的雙重勒索策略。其惡意代碼使用Go語言開發(fā)，具有較強(qiáng)的反分析和環(huán)境適配能力。Cephalus主要通過暴力破解或購買未啟用多因素認(rèn)證的RDP憑證，利用遠(yuǎn)程桌面協(xié)議直接登錄目標(biāo)系統(tǒng)

。入侵后使用MEGA云存儲平臺進(jìn)行數(shù)據(jù)竊取

，涉及財務(wù)記錄

、法律文件

、客戶數(shù)據(jù)等敏感信息

。通過偽裝合法SentinelOne安全軟件的SentinelBrowserNative

Host.exe實現(xiàn)DLL側(cè)加載

，加載惡意SentinelAgentCore

.dll后

，進(jìn)一步執(zhí)行data.bin中的勒索代碼。該白利用手法利用安全軟件白名單特性規(guī)避檢測。 第一章

勒索軟件攻擊形勢

P038

2025年勒索軟件流行態(tài)勢報告

以上為Cephalus家族的勒索信（三）家族衍生關(guān)系2025年的勒索軟件生態(tài)呈現(xiàn)出高度“模塊化

、品牌化

、聯(lián)盟化

、去中心化

”的特征

。表現(xiàn)在以下幾個方面：●代碼層面：

大量家族共享或直接復(fù)用同一加密核心

、加載器

、BYOVD漏洞利用工具、數(shù)據(jù)竊取工具、滲透框架、穿透代理等。●商業(yè)層面：

RaaS模式全面成熟，家族更像“品牌”，其成員與附屬團(tuán)伙頻繁遷移。●戰(zhàn)術(shù)層面：

純加密讓位于多重勒索

，亞馬遜S3/各類云環(huán)境/SaaS/ESXi成為主戰(zhàn)場?！裱葸M(jìn)邏輯：不是線性的新老更替，而是在全球監(jiān)管壓力與同行“黑吃黑”的現(xiàn)實中不斷分支、復(fù)活、重塑以及聯(lián)盟合并。 第一章

勒索軟件攻擊形勢

P039

2025年勒索軟件流行態(tài)勢報告 第一章

勒索軟件攻擊形勢

P040

2025年勒索軟件流行態(tài)勢報告核心加密代碼的衍生關(guān)系Ryuk/Conti系列的衍生與重組

，conti被制裁與打擊之后

，分散為多個勒索家族

，衍生出一系列勒索家族

，他們使用相同的攻擊鏈路

，如：

RDP

、VPN

、ESXi

、Confluence等。使用相似的贖金談判與泄露站點(diǎn)結(jié)構(gòu),主要有下面一些：●BlackBasta家族，其戰(zhàn)術(shù)、代碼、人員高度繼承自Conti勒索家族。●Hunters

International家族，重點(diǎn)攻擊Oracle/ESXi/SaaS目標(biāo)?！馎kira家族，使用相似橫向與憑證濫用戰(zhàn)術(shù)?！馡nterlock、Lynx

、Play家族，部分戰(zhàn)術(shù)繼承。