Aggregator

近日，360数字安全集团以2025年全年勒索软件事件监测、分析与处置数据为基石，融合国内外一线安全态势数据、权威研究报告及国际热点事件情报，经综合研判梳理后，权威发布《2025年勒索软件流行态势报告》（以下简称“报告”）。该报告基于对勒索软件传播特征、演变规律与发展趋势的深度剖析，系统性解构了其背后生态链的演进逻辑，旨在助力政企机构构建覆盖“监测预警、应急响应、长效防护”的体系化防御能力，为数字安全建设提供有力的实践指引与策略支撑。

勒索态势整体平稳

加密技术转向性能竞逐

报告显示，2025年我国勒索软件传播态势总体延续了2024年以来的相对平稳状态，虽不断涌现新的勒索家族且传统团伙攻击仍频繁，对个人、企业与政府机构持续形成威胁，但未出现单一勒索软件在短期内引发大规模爆发的情况。这一方面得益于安全厂商技术能力的持续提升与协同应对，另一方面也源于各类用户安全意识的普遍增强。

在过去一年中，360在自研安全智能体蜂群的支撑下，累计处理勒索攻击求助超2179例，识别新勒索家族84个，其中多重勒索家族约占半数；新增支持8款勒索病毒解密，其中7款为全球独家解密，共保护近216万台设备免遭入侵，拦截各类弱口令入侵共计超过12亿次。

从勒索软件家族分布来看，PC端仍以Weaxor、LockBit与Wmansvcs三大老牌家族及其变种为主。Weaxor凭借Web漏洞利用等手段占据传播榜首，并在攻击中结合漏洞驱动进行内核对抗以提升成功率；Wmansvcs则承接了Phobos的传播模式，主要在国内通过远程桌面弱口令爆破传播；LockBit在年底以5.0版本回归，并引入第三方黑产团伙协作，进一步扩大了其威胁生态。

此外，报告指出，当前主流勒索家族普遍采用对称加密处理大规模文件数据，并以非对称或椭圆曲线算法保护密钥，构成兼顾强度与效率的多级加密方案，演化重点正从方案设计转向执行效率优化，以提升加密速度并降低暴露风险。

从传播方式看，勒索软件的传播手段依然是以远程桌面和漏洞利用两种为主，仅这两种传播途径就占到了总量的近八成。其中，远程桌面入侵目前仍是导致勒索感染的主要途径，但其优势正在缩小，漏洞利用的比例已与之十分接近。远程桌面攻击持续高发，主要因为该手段已形成成熟的入侵工具链，加之大量中小企业和日益增多的家庭用户在公网上开放相关端口且缺乏有效防护。

与此同时，漏洞利用攻击主要集中在Web应用及各类管理系统的安全弱点上，已成为当前勒索传播中增长迅速且危害突出的重要渠道。

双重勒索已成主流

攻击生态趋于联盟协作 

数据作为企业核心资产，其泄露不仅造成经济损失，更影响声誉、合规与业务连续性。在此背景下，当前勒索攻击模式不断演变，已从单纯加密数据演变为多重胁迫的复杂策略。 

报告显示，2025年参与双重/多重勒索的活跃勒索软件家族达到122个，较2024年增长近三成。其中，头部Top10家族仍占据主导地位，但更多新兴家族占比显著提升，呈现出明显的长尾分布态势。

与去年相比，2025年数据泄露事件高度集中于服务业与制造业，其次为建筑、医疗与金融业。这一变化源于勒索攻击日益聚焦于设备规模大、数据价值高的中大型企业。此外，教育、能源等行业亦位列前十，凸显相关领域亟需加强勒索防护。目前已公开的被勒索企业中，美国企业以超过半数的占比位居榜首，我国亦有企业上榜，占比约1.46%。

360安全智能体监测显示，2025年全年共有40个新增勒索软件家族开始采用双重/多重勒索模式，表明该模式正持续扩散。与此同时，勒索赎金整体呈现回落趋势，已从去年动辄千万美元的普遍水平降至百万美元量级。即便针对大型企业的攻击，如BlackCat对美国环球健康服务公司的勒索，金额也控制在2200万美元，反映出赎金定价趋于理性。

同时，报告总结指出，2025年勒索软件的演化呈现以下规律：生态协作而非代码本身成为家族维系的关键；品牌、团伙与开发者间的界限日益模糊；攻击主战场正向云环境、ESXi及SaaS服务转移。未来，勒索生态或将更多以“联盟”形式出现，而非独立的家族运作。

勒索目标聚焦政企

加密威胁瞄准数据库 

360统计发现，2025年勒索软件攻击的地域分布保持稳定，仍集中在数字经济发达及人口密集地区。广东、北京、浙江位列受影响程度前三，这说明发达区域持续面临更高威胁。

制造业、互联网及软件服务业以及服务业位列受害行业前三，医疗等敏感行业亦在其中。这些领域普遍具有信息化程度高、数据资产价值大、支付意愿强的特点，因此面临更大的暴露面和更高的勒索风险，成为攻击者持续聚焦的目标。

受攻击系统分布上，Windows 10、Windows Server 2012与2008位列前三。其中Windows 10占比虽仍居首，但较2024年明显回落，主要受其进入生命周期末期及攻击向政企服务器倾斜的影响。

从操作系统类型的角度看，桌面PC整体占比亦随之下降至55.31%，而针对Linux及NAS系统的攻击则保持稳定但占比较低。这一变化反映出勒索攻击正持续转向服务器及政企目标，相关机构需进一步提升安全防护。

较去年相比，数据库与办公文档仍是受害方最主要的两类被加密数据，但二者的排序发生对调：数据库现居首位，且领先优势显著。这一变化与政企机构遭受攻击比例上升密切相关，因大量业务数据更多存储于数据库中，相关专业软件也普遍依赖数据库进行数据调用与管理。

AI驱动攻防升级

360安全智能体赋能全域防护

基于对2025年勒索软件传播与演变态势的深入分析，报告进一步对其未来发展趋势作出研判，并提出相应的防御应对策略。

一是AI正全面重塑勒索攻防格局，由辅助工具演变为核心引擎。攻击侧借助大模型与自动化技术，实现攻击链智能定制与全流程自主渗透，使勒索软件具备动态规避和精准打击能力；防御侧则依托AI模型驱动威胁检测、行为分析与自动化响应，推动安全体系从规则依赖向智能研判升级。与此同时，AI大幅降低了高级安全能力的应用门槛，助力各类企业应对日趋智能化的勒索威胁，标志着攻防对抗正式进入以人工智能为核心驱动的新阶段。

二是攻击团伙更加专业化、系统化，中小企业成为高频目标。攻击团伙运作日益接近“准红队”模式，其采用结构化入侵战术与模块化工具链，RaaS模式趋于成熟，甚至引入KPI与分成机制，推动攻击行动向产业化发展。同时，n-day漏洞武器化速度显著加快，从公开到利用平均缩短至7天内，使得补丁管理薄弱的中小企业成为主要受害者。面对专业攻击与自身能力不足，越来越多的企业开始转向安全托管服务（MSS）与SaaS化防护方案，推动安全能力外包成为主流应对策略。 

三是在与勒索软件的持续对抗中，创新是打破攻防平衡、推动防御体系实现系统性跨越的核心动力。未来的勒索对抗，比拼的将是AI的部署速度和防御体系的韧性。广大政企机构不能再依赖单一的安全产品，而需要构建一个以AI为核心、涵盖终端、网络、应用和云环境的统一安全运营体系。

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。

该体系将安全专家能力和经验进行固化，集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体。通过安全智能体的协同调度，该体系不仅可以完成自动化、毫秒级的威胁识别与处置，并能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，助力广大政企机构构建AI时代下面向勒索病毒的全生命周期防护能力。

让病毒进不来：在终端与流量侧部署360安全探针，通过互联网入口检测等主动防御能力实时监测威胁。一旦触发病毒告警，终端安全智能体将自动获取样本，快速完成病毒家族鉴定，并联动威胁情报进行深度分析，最终实时同步威胁级别与处置结果，实现在病毒落地阶段的精准查杀与拦截；

让病毒散不开：终端勒索防御智能体能够对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；

让病毒难加密：通过终端安全探针结合云端情报赋能，利用终端安全智能体的自动溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；

加密后易恢复：内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，并通过终端安全智能体实现加密后的全方位恢复工作。 

目前，360安全智能体蜂群体系针对不同类别的勒索病毒，不同客户体量与需求，推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。 

2025年中，360基于安全智能体蜂群体系赋能，共计捕获勒索攻击事件线索5858起，涉及受害单位1639家，确认勒索病毒家族62个，攻击IP来源地涉及境外52个国家或地区，输出勒索攻击事件线索674起，协助超2200名用户解密文件486万份，挽回损失逾4700万元，持续助力政企机构构建纵深、全流程的勒索防护体系。

如需进一步咨询相关服务请联系：400-0309-360

Ransomware attacks kept climbing through 2025, even as major criminal groups collapsed and reformed. A new study conducted by the Symantec and Carbon Black Threat Hunter Team shows that disruption inside the ransomware economy slowed activity only briefly, while extortion methods expanded and diversified. Claimed ransomware attacks by actors operating data leak sites, 2022–2025 (Source: Symantec and Carbon Black) Record activity despite major takedowns Ransomware actors claimed 4,737 attacks in 2025, the highest annual total … More →

The post Ransomware activity never dies, it multiplies appeared first on Help Net Security.