2025年勒索软件流行态势报告

360安全能力中心反病毒部RANSOMWARE THREAT REARCH REPORT 20252025年勒索软件流行态势报告2026年1月前 言本报告以三六零数字安全集团能力中心反病毒部（CCTGA勒索软件防范应对工作组成员）在2025年全年监测、分析与处置的勒索软件事件为基础，结合国内外与勒索软件研究相关的一线数据与安全数据进行全面梳理、研判与汇总而成。报告聚焦国内勒索软件的发展动态，同时融入国际热点事件与形势的分析判断，旨在评估2025年勒索软件传播与演化趋势，并深入探讨未来可能的发展方向，以协助个人、企业和政府机构更有效地制定安全规划，降低遭受勒索攻击的风险。360反病毒部是三六零数字安全集团的核心能力支持部门，由一批常年奋战在网络安全一线的攻防对抗专家组成。该部门负责监测、防御、处置流行病毒木马以及研究新安全威胁。维护360高级威胁主动防御系统、360反勒索服务等基础安全服务，并提供横向渗透防护、网络入侵防护、Web服务保护、挖矿木马防护等多项保护功能，保护政企单位与广大网民的网络安全。摘 要2025年，360反勒索服务平台共处理2179起勒索软件攻击求助案例。从反馈情况来看，国内勒索软件整体的攻击态势与往年类似，安全形势依然严峻。勒索软件攻击的目标仍然集中于企事业单位，虽然中小企业依然是遭受攻击的主要群体，但规模较大的政企单位受到攻击的情况同样不容忽视。2025年度国内最为流行的勒索软件家族相比去年变化较大，前三家为Weaxor、LockBit和Wmansvcs，我们对这三家勒索软件的处置量占总量的58.4%以上。由于当前勒索软件已基本形成了较为成熟稳定的产业链，其传播手段趋于稳定。2025年，勒索软件的传播依然是以远程桌面和漏洞利用两种手段为主，仅这两种传播途径就占到了总量的近八成。其中利用漏洞传播是去年Mallox家族的传统手段，虽然本年度该家族已不再流行，但Weaxor作为该家族的重塑版本，则很好地继承了这一传统。勒索软件的核心加密算法延续了往年的思路，在保证加密强度的前提下，尽可能提升加密效率。Curve25519、ChaCha20等高效算法已渐成主流，而2025年新兴的The Gentlemen勒索软件，则采用了X25519配合XChaCha20算法，进一步提升了加密的效率与强度。2025年，双重勒索和多重勒索模式在赎金要求方面有所回落。与去年动辄过千万美元的赎金金额有所区别，今年多家勒索软件的勒索金额降至百万美元量级，即使BlackCat对美国环球健康服务公司这类巨头企业的勒索金额也仅为2200万美元。此外，2025年度国内最为流行的Weaxor勒索软件，更是将原本3万元人民币的勒索金额降低至1.2万元左右。服务业、制造业和建筑业是2025年受到双重/多重勒索攻击的主要行业。目前已公开的被勒索企业中，美国企业依然以超过半数的占比位居榜首，我国亦有企业上榜，占比约1.46%。2025年，广东、北京和浙江三省/市排在国内勒索软件攻击态势严重程度的前三位。受攻击的系统类型变化不大，桌面操作系统仍然位居首位，但Windows 10系统正逐步被Windows11取代。制造业、互联网及软件、服务业是2025年国内勒索软件攻击的主要目标，教育、医疗行业也受到了较多的攻击，分列第五和第六位，这也应引起重视。在攻击IP来源方面，美国成为勒索攻击IP的第一大来源地，其后则多为欧洲国家，而新加坡和我国香港地区因为存在大量被黑客租用的服务器机房，也榜上有名。此外，勒索软件作者所采用的沟通邮箱依然以匿名邮箱为主。在与勒索软件对抗的安全技术发展方面，我们认为，未来将朝着AI技术应用、专业化与系统化攻防对抗等方向进一步演进。同时，360也推出了多款创新工具，持续走在与勒索软件对抗的安全技术前沿，推动行业在防护能力和应对策略上不断提升。目录CONTENTS第一章 勒索软件攻击形势一、勒索软件概况 (一)勒索家族分布 (二)主流勒索软件趋势 (三)加密方式分布二、勒索软件传播方式三、多重勒索与数据泄露 (一)行业统计 (二)国家与地区分布 (三)家族统计 (四)逐月统计 (五)数据泄露的多重影响：商业、法律与声誉风险四、勒索软件家族更替 (一)每月新增传统勒索情况 (二)每月新增双重、多重勒索情况 (三)家族衍生关系004005007008011013014014016017018022023024039P001第二章 勒索软件受害者分析一、受害者所在地域分布二、受攻击系统分布三、受害者所属行业四、受害者支付赎金情况五、对受害者影响最大的文件类型六、受害者遭受攻击后的应对方式七、受害者提交反勒索服务申请诉求P047048049051053054055056一、黑客使用IP二、勒索联系邮箱的供应商分布三、攻击手段 (一)口令破解攻击 (二)漏洞利用攻击 (三)横向渗透攻击 (四)共享文件 (五)僵尸网络投毒 (六)社会工程学 (七)“自带易受攻击的驱动程序”（BYOVD） (八)其它攻击因素第三章 勒索软件攻击者分析P057059060061061063074081083083085085一、AI加速勒索攻击能力进化，攻防两端全面拥抱智能化 (一)AI 让勒索攻击智慧化、定制化、隐蔽化 (二)AI 驱动的全链路自动化勒索攻击体系形成 (三)AI 成为新一代安全产品核心能力 (四)安全产品门槛持续降低，AI成为普惠安全的核心二、攻击团伙更加专业化、系统化，中小企业成为高频目标三、创新驱动反勒索技术发展——安全技术新突破结论与趋势展望第四章 勒索软件发展与趋势分析P086089089090091091092094095一、针对企业用户的安全建议 (一)发现遭受勒索软件攻击后的处理流程 (二)企业安全规划建议 (三)遭受勒索软件攻击后的防护措施二、针对个人用户的安全建议 (一)养成良好的安全习惯 (二)减少危险的上网操作 (三)采取及时的补救措施三、不建议支付赎金四、勒索事件应急处置清单第五章 安全建议P096097097098100101101102102103103一、QILIN勒索软件在2025年度全球扩张二、马来西亚机场遭勒索攻击致运营中断三、RANSOMHOUSE勒索攻击全球发力四、四川德阳连锁超市遭LOCKBIT4.0勒索攻击五、美国环球健康服务公司医疗网络瘫痪六、BLACKSUIT勒索攻击席卷450余家美国机构七、国内某能源企业受DARKNESS勒索家族变种攻击八、LOCKBIT5.0卷土重来并与多个勒索家族结盟九、国内医疗行业面对SPMODVF勒索攻击十、FIT遭INCRANSOM攻击附录1. 2025年勒索软件大事件P106107108110112115116117119121123一、360攻击痕迹检测功能二、远控与