2025年11月勒索軟件流行態(tài)勢(shì)分析

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年11月，全球新增的雙重勒索軟件有Tridentlocker家族，傳統(tǒng)勒索軟件新增QuickLock、Kazu、BlackHeolas等多個(gè)家族。

近半年在國內(nèi)持續(xù)熱門的Top2家族Wmansvcs進(jìn)行了一次變種，加密后綴由之前的.peng變成了.wman，攻擊方式依舊是遠(yuǎn)程桌面協(xié)議登錄投毒并同時(shí)加密共享設(shè)備。

本月360發(fā)布了僅在國內(nèi)傳播的SnowSoul勒索軟件技術(shù)分析與獨(dú)家解密方案，充分體現(xiàn)了360反勒索服務(wù)的技術(shù)能力與長期守護(hù)的決心。

以下是本月值得關(guān)注的部分熱點(diǎn)：

OnSolve CodeRED網(wǎng)絡(luò)攻擊擾亂全美緊急警報(bào)系統(tǒng)

《華盛頓郵報(bào)》數(shù)據(jù)泄露事件影響近10萬名員工和承包商

媒體巨頭日經(jīng)新聞通報(bào)數(shù)據(jù)泄露事件影響17000人

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心（CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Weaxor家族占比33.54%居首位，第二Wmansvcs家族占比26.08%，LockBit家族占比11.8%位居第三。

?

圖1. 2025年11月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

?

圖2. 2025年11月勒索軟件入侵操作系統(tǒng)占比

2025年11月被感染的系統(tǒng)中，桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型服務(wù)器小幅領(lǐng)先桌面PC。

?

圖3. 2025年11月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點(diǎn)事件

OnSolve CodeRED網(wǎng)絡(luò)攻擊擾亂全美緊急警報(bào)系統(tǒng)

OnSolve CodeRED平臺(tái)遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致美國各州和地方政府、警察部門、消防機(jī)構(gòu)等公共安全單位緊急通知系統(tǒng)癱瘓。Crisis24公司確認(rèn)，該平臺(tái)遭到網(wǎng)絡(luò)犯罪集團(tuán)攻擊，迫使其停用舊版CodeRED系統(tǒng)，并開始恢復(fù)新的CodeRED系統(tǒng)。雖然攻擊只影響了CodeRED平臺(tái)，并未波及其他系統(tǒng)，但攻擊者從平臺(tái)竊取了大量用戶數(shù)據(jù)，包括姓名、地址、電子郵件、電話號(hào)碼和密碼。Crisis24表示，雖然數(shù)據(jù)被竊取，但目前沒有證據(jù)表明數(shù)據(jù)已公開發(fā)布。

同時(shí)，Crisis24的調(diào)查顯示，黑客使用了INC Ransom勒索軟件家族，并于2025年11月1日入侵OnSolve系統(tǒng)，11月10日加密文件。勒索集團(tuán)要求支付贖金，但因未收到贖金，黑客已將偷取的數(shù)據(jù)出售。數(shù)據(jù)泄露后，客戶被建議重置CodeRED賬戶的密碼。該勒索軟件家族自2023年7月起活躍，已攻擊多個(gè)行業(yè)的組織，包括教育、醫(yī)療、政府等。

《華盛頓郵報(bào)》數(shù)據(jù)泄露事件影響近10萬名員工和承包商

《華盛頓郵報(bào)》近日通知近10000名員工和承包商，他們的部分個(gè)人和財(cái)務(wù)數(shù)據(jù)在Oracle數(shù)據(jù)泄露事件中遭到曝光。攻擊發(fā)生在2025年7月10日至8月22日之間，黑客利用Oracle E-Business Suite軟件中的零日漏洞侵入了《華盛頓郵報(bào)》的網(wǎng)絡(luò)。該軟件廣泛用于企業(yè)資源規(guī)劃（ERP），包括人力資源、財(cái)務(wù)和供應(yīng)鏈管理。黑客竊取了敏感數(shù)據(jù)，并在9月末嘗試向《華盛頓郵報(bào)》勒索。調(diào)查顯示，攻擊者利用這一漏洞侵入了多個(gè)大公司，包括哈佛大學(xué)、美國航空子公司Envoy Air和日立旗下的GlobalLogic。

根據(jù)《華盛頓郵報(bào)》的調(diào)查，約9,720名員工和承包商的個(gè)人信息被泄露，包括姓名、銀行賬戶信息、社保號(hào)碼、稅號(hào)和身份證號(hào)。受影響者已獲得為期12個(gè)月的免費(fèi)身份保護(hù)服務(wù)，并被建議凍結(jié)信用檔案和設(shè)置欺詐警報(bào)。

盡管攻擊者未被明確指名，但已知Clop勒索軟件團(tuán)伙與這些攻擊事件相關(guān)，該團(tuán)伙利用了現(xiàn)在被追蹤為CVE-2025-61884的零日漏洞。值得注意的是，今年早些時(shí)候，《華盛頓郵報(bào)》的記者電子郵件賬戶也曾遭到外國國家行為者的攻擊，且兩起事件似乎有某種聯(lián)系。

媒體巨頭日經(jīng)新聞通報(bào)數(shù)據(jù)泄露事件影響17000人

日本媒體巨頭日經(jīng)（Nikkei）近日?qǐng)?bào)告了一起數(shù)據(jù)泄露事件，涉及超過17,000名員工和商業(yè)合作伙伴。該公司透露，攻擊者通過盜取員工計(jì)算機(jī)感染惡意軟件后獲取的認(rèn)證憑證，成功訪問了日經(jīng)的Slack消息平臺(tái)。泄露的個(gè)人信息包括17,368名Slack用戶的姓名、電子郵件地址和聊天記錄。

日經(jīng)在9月發(fā)現(xiàn)了此次安全漏洞后，立即采取了安全措施，包括強(qiáng)制修改密碼等。盡管事件的規(guī)模較大，但日經(jīng)表示泄露的信息不符合日本《個(gè)人信息保護(hù)法》的報(bào)告要求，因此沒有法律強(qiáng)制報(bào)告。但公司仍自愿向日本個(gè)人信息保護(hù)委員會(huì)通報(bào)，并強(qiáng)調(diào)透明度和事件的“重要性”。

日經(jīng)還表示，泄露的數(shù)據(jù)不包括機(jī)密消息源或報(bào)道活動(dòng)相關(guān)的信息，且用于新聞工作的個(gè)人數(shù)據(jù)未受影響。此次事件顯示出日經(jīng)對(duì)個(gè)人信息管理的重視，承諾加強(qiáng)管理以防止類似事件再次發(fā)生。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

?

圖4. 2025年11月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有696個(gè)組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含中國8個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有22個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，具有黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server?2008、Windows 7以及Windows 10。

?

圖5?2025年11月受攻擊系統(tǒng)占比

對(duì)2025年11月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

?

圖6. 2025年11月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年11月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動(dòng)。

?

圖7. 2025年11月監(jiān)控到的RDP入侵量

?

圖8. 2025年11月監(jiān)控到的MS SQL入侵量

?

圖9. 2025年11月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索軟件搜索引擎。

2wax：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞利用方式進(jìn)行投毒，通過powershell加載攻擊載荷并注入系統(tǒng)進(jìn)程多輪加載不同的漏洞驅(qū)動(dòng)與安全軟件進(jìn)行內(nèi)核對(duì)抗。部分版本會(huì)通過暴力破解登錄數(shù)據(jù)庫后植入Anydesk遠(yuǎn)控進(jìn)行手動(dòng)投毒。

2bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動(dòng)投毒。

2roxaew：同wax。

2pdmkzc3cx：屬于LockBit家族，以LockBit家族泄露代碼為基礎(chǔ)開發(fā)的國內(nèi)傳播版本。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫口令，成功后手動(dòng)投毒。

2reco：屬于Beast勒索軟件家族，該家族的傳播方式多樣，具備暴力破解、漏洞利用、共享加密等多種攻擊方式，同時(shí)具備跨平臺(tái)加密能力。

2peng：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語言編譯，目前僅在國內(nèi)傳播。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令，成功后手動(dòng)投毒。

2wstop：屬于RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過smb共享方式加密其他設(shè)備。

2babylocker：目前此擴(kuò)展名反饋的用戶均未提供溯源信息，暫未研判家族歸屬和攻擊方式。

2helper：屬于TargetOwner勒索軟件家族。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫口令，成功后手動(dòng)投毒。

2taps：屬于Paradise勒索軟件家族，該家族目前的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動(dòng)投毒。

2nezha：同reco?

圖10?2025年11月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Phobos，其次是FreeFix。使用解密大師解密文件的用戶，數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2025年11月解密大師解密文件數(shù)及設(shè)備數(shù)排名