2025年10月勒索軟件流行態(tài)勢(shì)分析

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年10月，全球新增的雙重勒索軟件有Tengu、Kyber、Genesis、Brotherhood、Radiant、Nasirsecurity等多個(gè)家族，傳統(tǒng)勒索軟件家族新增Monkey、ThunderKitty、BrawLocker等多個(gè)家族。其中Monkey家族有明顯的AI生成痕跡，在其Linux版本的樣本中存在刪除Windows卷影副本的代碼。BrawLocker則使用Powershell腳本通過投毒者手動(dòng)輸入密鑰加密Braw后綴的文件，此類文件是Blackmagic Design的Blackmagic RAW原始視頻格式，用來保存攝像機(jī)傳感器的原始影像數(shù)據(jù)和元數(shù)據(jù)，以便在后期進(jìn)行高動(dòng)態(tài)范圍調(diào)色與處理。

加密后綴為spmodvf的勒索軟件已經(jīng)在國內(nèi)持續(xù)傳播數(shù)月，已在本月沖入TOP榜單。遺憾的是，該勒索軟件受害者數(shù)月來無一例配合進(jìn)行溯源分析，而是第一時(shí)間選擇重裝或重置系統(tǒng)。而從運(yùn)維人員反饋看，該家族勒索軟件的受害者多集中在醫(yī)療行業(yè)。根據(jù)11月1日起開始實(shí)施的《國家網(wǎng)絡(luò)安全事件報(bào)告管理辦法》相關(guān)規(guī)定，對(duì)于此類網(wǎng)絡(luò)安全事件的報(bào)告已成為法定義務(wù)。在國家對(duì)網(wǎng)絡(luò)安全的日益重視，以及相關(guān)法律法規(guī)日趨完善的背景下，我們相信今后對(duì)此類勒索攻擊事件的溯源工作可以開展得更加順利。

以下是本月值得關(guān)注的部分熱點(diǎn)：

美國航空子公司Envoy Air遭Oracle數(shù)據(jù)竊取攻擊

零售巨頭無印良品因供應(yīng)商遭勒索攻擊而停止在線銷售

Qilin勒索軟件在Windows中利用WSL來運(yùn)行Linux加密器

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心（CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Weaxor家族占比38.06%居首位，第二的是Wmansvcs占比21.64%，LockBit家族以8.96%占比位居第三。

?

圖1. 2025年10月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

?

圖2. 2025年10月勒索軟件入侵操作系統(tǒng)占比

2025年10月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型服務(wù)器小幅領(lǐng)先桌面PC。

?

圖3. 2025年10月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點(diǎn)事件

美國航空子公司Envoy Air遭Oracle數(shù)據(jù)竊取攻擊

美國航空子公司Envoy Air確認(rèn)遭受Oracle數(shù)據(jù)竊取攻擊。根據(jù)報(bào)道，Cl0p勒索軟件團(tuán)伙通過Oracle E-Business Suite應(yīng)用程序，竊取了Envoy Air的部分商業(yè)信息和聯(lián)系方式，并將美國航空列入其數(shù)據(jù)泄露網(wǎng)站。盡管Envoy Air表示未發(fā)現(xiàn)敏感或客戶數(shù)據(jù)被泄露，但該事件仍然引起了廣泛關(guān)注。

此次安全事件源自Cl0p團(tuán)伙對(duì)Oracle E-Business Suite系統(tǒng)的攻擊。早在2024年8月，Cl0p就利用一個(gè)零日漏洞（CVE-2025-61882）侵入多個(gè)組織，部署惡意軟件并竊取數(shù)據(jù)。盡管Oracle曾表示攻擊者利用的漏洞已在7月修復(fù)，但后續(xù)情況表明，攻擊者利用了這一未修補(bǔ)的零日漏洞。Cl0p團(tuán)伙并未披露受影響的具體公司數(shù)量，但據(jù)了解，至少有數(shù)十家組織遭到數(shù)據(jù)竊取。

此外，Cl0p團(tuán)伙還在同一波攻擊中向哈佛大學(xué)施壓，即便只有少數(shù)與該校某小型行政單元相關(guān)的人員受到影響。Cl0p此前已在2023年通過多個(gè)漏洞攻擊多個(gè)平臺(tái)，如MOVEit Transfer和GoAnywhere MFT，導(dǎo)致全球上千家公司的數(shù)據(jù)遭竊。

Cl0p自2019年起開始活躍，最初以加密勒索為主，之后轉(zhuǎn)向利用零日漏洞竊取數(shù)據(jù)，已成為全球最知名的勒索軟件團(tuán)伙之一。美國國務(wù)院目前提供1000萬美元獎(jiǎng)勵(lì)，尋求與該團(tuán)伙活動(dòng)相關(guān)的外國政府信息。

零售巨頭無印良品因供應(yīng)商遭勒索攻擊而停止在線銷售

近日，日本零售公司無印良品因其配送合作伙伴Askul遭遇勒索軟件攻擊，導(dǎo)致無印良品的在線商店服務(wù)暫停。此次事件影響了包括在線購物、訂單歷史查看和網(wǎng)頁內(nèi)容顯示等多個(gè)服務(wù)功能。無印良品在日本時(shí)間周日晚間宣布暫停相關(guān)服務(wù)，并在周一下午的更新內(nèi)容中表示，除在線購買和申請(qǐng)?jiān)露确?wù)外，其他功能已恢復(fù)。公司目前正在調(diào)查哪些訂單受到影響，并計(jì)劃通過郵件通知受影響的客戶。

Askul，作為一個(gè)主要處理辦公用品及物流業(yè)務(wù)的電商平臺(tái)，確認(rèn)遭遇勒索病毒攻擊，導(dǎo)致其網(wǎng)站和訂單處理系統(tǒng)癱瘓。這次攻擊造成了多個(gè)業(yè)務(wù)中斷，包括退貨申請(qǐng)、收據(jù)郵寄、目錄郵寄等服務(wù)暫停。同時(shí)，通過電話或網(wǎng)站也無法聯(lián)系Askul客服。Askul正在調(diào)查是否有個(gè)人信息泄露，截至目前，尚未有勒索軟件團(tuán)伙宣布對(duì)此次攻擊負(fù)責(zé)。

因Askul專門處理無印良品在日本地區(qū)的訂單，此次攻擊事件僅影響無印良品在日本的業(yè)務(wù)，無印良品在其他國家的門店運(yùn)營正常，沒有受到此次攻擊影響。

Qilin勒索軟件在Windows中利用WSL來運(yùn)行Linux加密器

Qilin勒索軟件利用Windows Subsystem for Linux (WSL) 技術(shù)，繞過傳統(tǒng)的安全防護(hù)，成功在Windows系統(tǒng)上運(yùn)行Linux加密程序，成為當(dāng)前最活躍的勒索軟件之一。Qilin最初以“Agenda”之名于2022年8月出現(xiàn)，隨后于9月改名為Qilin。到2025年下半年，該勒索軟件每月攻擊超過40個(gè)新受害者，覆蓋62個(gè)國家，影響極廣。

Qilin的攻擊手段主要包括使用遠(yuǎn)程訪問工具（如AnyDesk、ScreenConnect和Splashtop）入侵目標(biāo)網(wǎng)絡(luò)，竊取憑證和數(shù)據(jù)。同時(shí)，攻擊者還利用Windows自帶工具（如Microsoft Paint和Notepad）來掃描文檔中的敏感信息。此外，Qilin勒索軟件還采用了“BYOVD”（自帶漏洞驅(qū)動(dòng)）攻擊技術(shù)，通過安裝漏洞驅(qū)動(dòng)程序（如eskle.sys）禁用安全軟件，并使用“dark-kill”和“HRSword”工具清除其惡意活動(dòng)痕跡。

最具創(chuàng)新性的是，Qilin攻擊者通過WSL在Windows系統(tǒng)上執(zhí)行Linux加密程序。由于Qilin的加密程序是ELF格式的Linux可執(zhí)行文件，無法直接在Windows系統(tǒng)上運(yùn)行，因此攻擊者利用WSL功能，在Windows 境中運(yùn)行這些程序，成功規(guī)避了許多傳統(tǒng)Windows安全工具的檢測(cè)。這種方法顯示了勒索軟件家族如何適應(yīng)混合Windows和Linux環(huán)境，進(jìn)一步增強(qiáng)其攻擊能力。

通過這種方法，Qilin勒索軟件能夠最大化提升其攻擊范圍，并繞過許多依賴于Windows操作系統(tǒng)行為的防御機(jī)制，使得檢測(cè)和防范變得更加困難。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

?

圖4. 2025年10月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有781個(gè)組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含中國7個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有14個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，具有黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

?

圖5 2025年10月受攻擊系統(tǒng)占比

對(duì)2025年10月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是受攻擊的主要對(duì)象。

?

圖6. 2025年10月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年10月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動(dòng)。

?

圖7. 2025年10月監(jiān)控到的RDP入侵量

?

圖8. 2025年10月監(jiān)控到的MS SQL入侵量

?

圖9. 2025年10月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索軟件搜索引擎。

2wax：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞利用方式進(jìn)行投毒，通過powershell加載攻擊載荷，并注入系統(tǒng)進(jìn)程多輪加載不同的漏洞驅(qū)動(dòng)與安全軟件進(jìn)行內(nèi)核對(duì)抗。部分版本會(huì)通過暴力破解登錄數(shù)據(jù)庫后，植入Anydesk遠(yuǎn)控進(jìn)行手動(dòng)投毒。

2weax：同wax。

2roxaew：同wax。

2888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫口令，成功后手動(dòng)投毒。

2peng：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語言編譯，目前僅在國內(nèi)傳播。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令，成功后手動(dòng)投毒。

2bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動(dòng)投毒。

2spmodvf：目前此擴(kuò)展名反饋的用戶均未提供溯源信息，暫未研判家族歸屬與攻擊方式。

2mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播，后來增加了漏洞利用的傳播方式。此外，360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

2beast：屬于Beast勒索軟件家族，該家族的傳播方式多樣，具備暴力破解、漏洞利用、共享加密等多種攻擊方式，同時(shí)具備跨平臺(tái)加密能力。

2mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

?

圖10 2025年10月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Phobos，其次是Crysis。使用解密大師解密文件的用戶數(shù)量最多的是被Crysis家族加密的設(shè)備。

?

圖11. 2025年10月解密大師解密文件數(shù)及設(shè)備數(shù)排名