2025年勒索软件流行态势报告

RANSOMWARE THREAT REARCH REPORT 2025 360安全能力中心反病毒部 2026年1月 前言 本报告以三六零数字安全集团能力中心反病毒部（CCTGA勒索软件防范应对工作组成员）在2025年全年监测、分析与处置的勒索软件事件为基础，结合国内外与勒索软件研究相关的一线数据与安全数据进行全面梳理、研判与汇总而成。报告聚焦国内勒索软件的发展动态，同时融入国际热点事件与形势的分析判断，旨在评估2025年勒索软件传播与演化趋势，并深入探讨未来可能的发展方向，以协助个人、企业和政府机构更有效地制定安全规划，降低遭受勒索攻击的风险。 360反病毒部是三六零数字安全集团的核心能力支持部门，由一批常年奋战在网络安全一线的攻防对抗专家组成。该部门负责监测、防御、处置流行病毒木马以及研究新安全威胁。维护360高级威胁主动防御系统、360反勒索服务等基础安全服务，并提供横向渗透防护、网络入侵防护、Web服务保护、挖矿木马防护等多项保护功能，保护政企单位与广大网民的网络安全。 摘要 2025年，360反勒索服务平台共处理2179起勒索软件攻击求助案例。从反馈情况来看，国内勒索软件整体的攻击态势与往年类似，安全形势依然严峻。 勒索软件攻击的目标仍然集中于企事业单位，虽然中小企业依然是遭受攻击的主要群体，但规模较大的政企单位受到攻击的情况同样不容忽视。 2025年度国内最为流行的勒索软件家族相比去年变化较大，前三家为Weaxor、LockBit和Wmansvcs，我们对这三家勒索软件的处置量占总量的58.4%以上。 由于当前勒索软件已基本形成了较为成熟稳定的产业链，其传播手段趋于稳定。2025年，勒索软件的传播依然是以远程桌面和漏洞利用两种手段为主，仅这两种传播途径就占到了总量的近八成。其中利用漏洞传播是去年Mallox家族的传统手段，虽然本年度该家族已不再流行，但Weaxor作为该家族的重塑版本，则很好地继承了这一传统。 勒索软件的核心加密算法延续了往年的思路，在保证加密强度的前提下，尽可能提升加密效率。Curve25519、ChaCha20等高效算法已渐成主流，而2025年新兴的TheGentlemen勒索软件，则采用了X25519配合XChaCha20算法，进一步提升了加密的效率与强度。 2025年，双重勒索和多重勒索模式在赎金要求方面有所回落。与去年动辄过千万美元的赎金金额有所区别，今年多家勒索软件的勒索金额降至百万美元量级，即使BlackCat对美国环球健康服务公司这类巨头企业的勒索金额也仅为2200万美元。此外，2025年度国内最为流行的Weaxor勒索软件，更是将原本3万元人民币的勒索金额降低至1.2万元左右。 服务业、制造业和建筑业是2025年受到双重/多重勒索攻击的主要行业。目前已公开的被勒索企业中，美国企业依然以超过半数的占比位居榜首，我国亦有企业上榜，占比约1.46%。 2025年，广东、北京和浙江三省/市排在国内勒索软件攻击态势严重程度的前三位。受攻击的系统类型变化不大，桌面操作系统仍然位居首位，但Windows10系统正逐步被Windows11取代。 制造业、互联网及软件、服务业是2025年国内勒索软件攻击的主要目标，教育、医疗行业也受到了较多的攻击，分列第五和第六位，这也应引起重视。 在攻击IP来源方面，美国成为勒索攻击IP的第一大来源地，其后则多为欧洲国家，而新加坡和我国香港地区因为存在大量被黑客租用的服务器机房，也榜上有名。此外，勒索软件作者所采用的沟通邮箱依然以匿名邮箱为主。 在与勒索软件对抗的安全技术发展方面，我们认为，未来将朝着AI技术应用、专业化与系统化攻防对抗等方向进一步演进。同时，360也推出了多款创新工具，持续走在与勒索软件对抗的安全技术前沿，推动行业在防护能力和应对策略上不断提升。 目录CONTENTS 第一章 勒索软件攻击形势P001 一、勒索软件概况(一)勒索家族分布(二)主流勒索软件趋势(三)加密方式分布二、勒索软件传播方式三、多重勒索与数据泄露(一)行业统计(二)国家与地区分布(三)家族统计(四)逐月统计(五)数据泄露的多重影响：商业、法律与声誉风险四、勒索软件家族更替(一)每月新增传统勒索情况(二)每月新增双重、多重勒索情况(三)家族衍生关系004005007008011013014014016017018022023024039 第二章 勒索软件受害者分析P047 一、受害者所在地域分布二、受攻击系统分布三、受害者所属行业四、受害者支付赎金情况五、对受害者影响最大的文件类型六、受害者遭受攻击后的应对方式七、受害者提交反勒索服务申请诉求048049051053054055056 第三章 勒索软件攻击者分析P057 一、黑客使用IP二、勒索联系邮箱的供应商分布三、攻击手段(一)口令破解攻击(二)漏洞利用攻击(三)横向渗透攻击(四)共享文件(五)僵尸网络投毒(六)社会工程学(七)“自带易受攻击的驱动程序”（BYOVD）(八)其它攻击因素059060061061063074081083083085085 第四章 勒索软件发展与趋势分析P086 一、AI加速勒索攻击能力进化，攻防两端全面拥抱智能化(一)AI 让勒索攻击智慧化、定制化、隐蔽化(二)AI 驱动的全链路自动化勒索攻击体系形成(三)AI 成为新一代安全产品核心能力(四)安全产品门槛持续降低，AI成为普惠安全的核心二、攻击团伙更加专业化、系统化，中小企业成为高频目标三、创新驱动反勒索技术发展——安全技术新突破结论与趋势展望089089090091091092094095 第五章 安全建议P096 一、针对企业用户的安全建议(一)发现遭受勒索软件攻击后的处理流程(二)企业安全规划建议(三)遭受勒索软件攻击后的防护措施097097098100 二、针对个人用户的安全建议101 (一)养成良好的安全习惯(二)减少危险的上网操作(三)采取及时的补救措施101102102 四、勒索事件应急处置清单103 附录1. 2025年勒索软件大事件P106 一、QILIN勒索软件在2025年度全球扩张二、马来西亚机场遭勒索攻击致运营中断三、RANSOMHOUSE勒索攻击全球发力四、四川德阳连锁超市遭LOCKBIT4.0勒索攻击五、美国环球健康服务公司医疗网络瘫痪六、BLACKSUIT勒索攻击席卷450余家美国机构七、国内某能源企业受DARKNESS勒索家族变种攻击八、LOCKBIT5.0卷土重来并与多个勒索家族结盟九、国内医疗行业面对SPMODVF勒索攻击十、FIT遭INCRANSOM攻击107108110112115116117119121123 附录2. 360终端安全产品反勒索防护能力介绍P125 一、360攻击痕迹检测功能二、远控与勒索急救功能三、勒索预警服务四、弱口令防护能力五、数据库保护能力六、WEB服务漏洞攻击防护七、横向渗透防护能力八、提权攻击防护九、挂马网站防护能力十、钓鱼邮件附件防护126130133134136137138140141142 附录3. 360解密大师P143 附录4. 360勒索软件搜索引擎P145 第一章 勒索软件攻击形势 P047 勒索软件攻击形势 2025年，勒索软件依然是全球范围内风险等级最高、影响面最广的网络安全威胁之一，其在国内的整体传播态势总体延续了2024年以来的相对平稳状态。无论是新出现的勒索软件家族，还是长期活跃的传统勒索软件团伙，其攻击活动依然频繁，且对个人用户、企业及政府机构持续构成现实威胁，但未观察到某单一勒索软件家族在短时间内引发大规模、爆发式传播的情况。这一相对稳定的态势，一方面，得益于全球主流安全厂商在反勒索技术、防护体系和应急响应能力上的持续投入与协同对抗；另一方面，也与个人用户及政企单位对勒索软件这一高危恶意软件类型的认知不断加深、防范意识和基础防护能力显著提升密切相关。 虽然整体数据平稳，但勒索软件的攻势依然不减。攻击方式也有显著变化。针对个人、中小企业以传统勒索攻击为主，头部勒索家族如Makop、Phobos均属于此类情况。赎金金额方面，没有显著变化，仍以2000美元～5000美元为主。针对大中型企业的勒索攻击，已转为窃密、加密双重勒索形式为主，而赎金金额多了“一单一价”的模式。在技术演进方面，主流勒索家族的攻击、加密、运营技术逐步趋同，一个单位频繁遭受多家勒索软件攻击的案例时有发生。部分新兴家族，在勒索软件创建时，存在疏漏。360反勒索专家，利用这一特点，成功完成了7款勒索软件的解密。 通过对2025年勒索软件样本的深入分析，以及相关攻击案例的溯源研究可以发现，虽然勒索软件的整体技术框架并没有发生根本变化，但在具体攻击方式和实施细节上，各个家族仍在不断优化和升级。为了提高入侵效率和成功率，越来越多的勒索团伙开始把软件漏洞和 Web 漏洞作为主要突破口，而不再单纯依赖RDP暴破等传统手段。针对大中型企业的边界设备漏洞攻击成为常态，内网横移重点打击AD域控、VMwareESXI、IT管控平台等集 控设备。在勒索病毒免杀对抗方面，这类攻击家族表现并不积极，攻击者一般在获取足够权限后，通过管控方式来关闭设备的安全功能。 值得关注的是，随着人工智能技术的快速发展和普及，勒索软件正在变得更加“聪明”和高效。在AI的帮助下，这类攻击的更新速度明显加快，操作门槛不断降低，使得更多攻击者能够轻易发起复杂的网络攻击。可以预见，未来人工智能驱动的勒索攻击将逐渐成为常态，成为网络空间中不容忽视的重要安全风险。与此同时，人工智能也正在成为网络安全防护的重要力量。越来越多的安全厂商将AI技术引入安全产品和服务中，在威胁发现、异常行为识别和自动化处置等方面显著提升了防御能力。展望未来，那些能够成熟、高效地运用人工智能技术的组织，将在应对勒索软件及其他网络威胁的长期对抗中占据明显优势。可以说，人工智能已经成为当前乃至未来一段时期内，网络攻防博弈中最关键的因素之一。 2025年，360反勒索服务共处理了2179例勒索攻击求助，发现84个新勒索家族，其中多重勒索家族40个约占一半。新增支持8款勒索病毒的解密，其中7款为全球独家解密。协助2271位用户，完成486万份文件的解密，挽回损失超4700万元。2025年，360防黑加固共保护近216万台设备免遭入侵，拦截各类弱口令入侵共计超过12亿次。 2025年，360反勒索预警服务基于360全网安全大数据视野，监测勒索攻击的多个环节，在勒索攻击的准备阶段，以及病毒初始投递阶段，对监管、企业用户提供勒索预警订阅服务，争取在勒索的前期阶段，进行阻断，避免造成受害单位的进一步损失。2025年共计捕获勒索攻击事件线索5858起，涉及受害单位1639家，确认勒索病毒家族62个，攻击IP来源地涉及境外52个国家或地区，输出勒索攻击事件线索674起，覆盖全国多个地区。 本章将对2025年全年，360反勒索服务检测到的勒索软件相关事件与数据进行分析解读。 勒索软件概况 2025年全年，360反勒索服务平台、360解密大师两个主要渠道，一共接收并处理了2179位遭遇勒索软件攻击的受害者求助。其中来自企业用户的求助占比较高，与个人受害者相比，组织单位受到攻击后所影响的设备数量较多、勒索金额较大，造成的损失程度也更为严重。勒索软件对企业的影响正在进一步加深，社会整体面临的勒索软件威胁依旧严峻。 下图给出了2025年各月通过360安全卫士反勒索服务和360解密大师渠道，提交申请并最终确认感染勒索软件的有效求助量情况。 2025年反馈量的增长波动主要受Wmansvcs家族与Weaxor家族影响。前者频繁发起暴破攻击，造成大量未使用360终端安全产品的设备中招。后者长期无差别发起Web漏洞利用攻击，且攻击过程中加入了大量与安全软件的攻防对抗，造成大量未使用360终端安全产品的用户中招，也使其成为2025年排行第一的勒索家族。 2 0 2 5年 勒 索 软 件