勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)例勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶(hù)提供360反勒索服務(wù)。

2026年1月，全球新增的雙重勒索軟件有BravoX、ClearWater、Vect、GreenBlood家族，傳統(tǒng)勒索軟件家族新增Milkyway、RahidsLocker、GrandMonty、PurpleCryptr等多個(gè)家族。

本月在國(guó)內(nèi)持續(xù)熱門(mén)的勒索家族Weaxor家族新增了一個(gè)分支變種，主流加密后綴變更為.xr，攻擊方式依舊是利用Web漏洞發(fā)起攻擊并通過(guò)注入系統(tǒng)進(jìn)程輪詢(xún)加載漏洞驅(qū)動(dòng)，與安全軟件做內(nèi)核對(duì)抗。

本月出現(xiàn)了一個(gè)名為0APT的勒索軟件組織，但實(shí)際上是一個(gè)詐騙團(tuán)伙。該組織利用AI生成的虛假受害公司對(duì)外發(fā)布信息，并夾雜少量真實(shí)的受害公司，以制造看似真實(shí)的假象。目前該組織開(kāi)始招募所謂的“黑帽黑客”，但其真實(shí)目的并不是組織勒索攻擊，而是詐騙并竊取被招募者的比特幣。 此案例佐證了一個(gè)長(zhǎng)期存在的現(xiàn)實(shí)：網(wǎng)絡(luò)詐騙攻擊不只面向普通民眾，同樣廣泛針對(duì)安全分析人員、黑產(chǎn)從業(yè)者、IT管理員等傳統(tǒng)意義上的所謂的技術(shù)認(rèn)知強(qiáng)的目標(biāo)群體。

以下是本月值得關(guān)注的部分熱點(diǎn)：

①　LockBit變種兩度利用僵尸網(wǎng)絡(luò)下發(fā)

②　MiddCrypto勒索軟件利用國(guó)內(nèi)全實(shí)名平臺(tái)鏈路進(jìn)行投毒

③　Nike在勒索團(tuán)伙公布文件后調(diào)查數(shù)據(jù)泄露事件

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心（CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

安全軟件占比分析

360反勒索服務(wù)已經(jīng)存在十年以上，并長(zhǎng)期致力于服務(wù)來(lái)自全網(wǎng)的勒索病毒攻擊的響應(yīng)、分析、處置、攻防、預(yù)警、解密工作。自2026年1月起，新增安全軟件占比統(tǒng)計(jì)，主要用于評(píng)估當(dāng)前復(fù)雜網(wǎng)絡(luò)攻防態(tài)勢(shì)下愈發(fā)嚴(yán)重的基線(xiàn)安全問(wèn)題，為勒索相關(guān)的攻擊事件提供接近真實(shí)維度的數(shù)據(jù)。

本月的勒索反饋中未裝安全軟件的占比達(dá)到70%，而未正常啟用360安全軟件的設(shè)備數(shù)量則占比12%，安裝了其他安全軟件的設(shè)備則占比18%。在溯源分析中發(fā)現(xiàn)，所有安裝了360安全軟件的反饋設(shè)備均未開(kāi)啟相關(guān)防護(hù)，尚未發(fā)現(xiàn)繞過(guò)360多維防御體系的勒索攻擊。

?

圖1. 2026年1月勒索軟件中招設(shè)備中安裝的安全軟件占比

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Weaxor家族占比38.55%居首位，第二的是LockBit占比21.69%，Wmansvcs家族以16.47%占比位居第三。

?

圖2. 2026年1月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows 11以及Windows Server 2012。

?

圖3. 2026年1月勒索軟件入侵操作系統(tǒng)占比

2026年1月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類(lèi)型桌面PC大幅領(lǐng)先服務(wù)器，Nas平臺(tái)攻擊行為有所增加。

?

圖4. 2026年1月勒索軟件入侵操作系統(tǒng)類(lèi)型占比

勒索軟件熱點(diǎn)事件

LockBit變種兩度利用僵尸網(wǎng)絡(luò)下發(fā)

360反勒索服務(wù)在1月5日與1月23日分別接到數(shù)十例LockBit家族變種感染的集中反饋，在一些社交媒體平臺(tái)也會(huì)看到同期LockBit家族相關(guān)的受害案例。經(jīng)360溯源分析確認(rèn)相關(guān)LockBit變種是通過(guò)先前感染過(guò)的僵尸網(wǎng)絡(luò)渠道進(jìn)行的聯(lián)網(wǎng)下發(fā)，感染設(shè)備均無(wú)360防護(hù)。受害者包括企業(yè)與個(gè)人用戶(hù)，相關(guān)僵尸網(wǎng)絡(luò)具備內(nèi)網(wǎng)滲透能力，一經(jīng)發(fā)現(xiàn)需全員殺毒加固。

?

圖5. 360滲透痕跡記錄功能發(fā)現(xiàn)并攔截僵尸網(wǎng)絡(luò)感染行為

在1月23日LockBit變種版本的勒索贖金要求降低為300美元，相比1月5日那一批500美元的贖金降低了40%。根據(jù)前一批500美元贖金的受害者反饋，第三方贖金中介打著解密或數(shù)據(jù)恢復(fù)幌子收取的成交金額是3700人民幣。預(yù)計(jì)本批次的第三方中介的贖金費(fèi)用在2300左右。由于受害金額無(wú)法立案，進(jìn)一步杜絕了受害者嘗試報(bào)警的可能性。

?

圖6. Lockbit勒索信息?

MiddCrypto勒索軟件利用國(guó)內(nèi)全實(shí)名平臺(tái)鏈路進(jìn)行勒索投毒

本月360率先獨(dú)家解密了通過(guò)激活工具與破解軟件進(jìn)行釣魚(yú)傳播的MiddCrypto勒索軟件，其利用備案網(wǎng)站、博客園、51cto、百度網(wǎng)盤(pán)等渠道進(jìn)行傳播，同時(shí)利用微信與支付寶進(jìn)行勒索變現(xiàn)。此勒索軟件在受害用戶(hù)設(shè)備上會(huì)上傳數(shù)據(jù)識(shí)別用戶(hù)畫(huà)像，進(jìn)行特定后綴的加密以及支付贖金的云控調(diào)整。

360第一時(shí)間進(jìn)行了勒索代碼的分析與數(shù)據(jù)解密，并將分析與解密結(jié)論形成了分析報(bào)告，報(bào)告詳細(xì)內(nèi)容可參見(jiàn)如下鏈接：

https://news.safe.#/n/12876.html

?

圖7. MiddCrypto勒索軟件感染流程示意圖?

Nike在勒索團(tuán)伙公布文件后調(diào)查數(shù)據(jù)泄露事件

Nike正在調(diào)查一起其所稱(chēng)的“潛在網(wǎng)絡(luò)安全事件”。此前，勒索與數(shù)據(jù)敲詐組織World Leaks在其暗網(wǎng)泄露網(wǎng)站上發(fā)布信息，聲稱(chēng)從這家運(yùn)動(dòng)服飾巨頭竊取了約1.4TB數(shù)據(jù)、近19萬(wàn)份文件，內(nèi)容涉及Nike的企業(yè)內(nèi)部資料和業(yè)務(wù)運(yùn)營(yíng)信息。Nike在回應(yīng)媒體時(shí)表示，公司一貫高度重視消費(fèi)者隱私和數(shù)據(jù)安全，目前正對(duì)事件展開(kāi)調(diào)查并評(píng)估影響，但尚未證實(shí)數(shù)據(jù)被盜或泄露的真實(shí)性。

值得注意的是，在相關(guān)報(bào)道發(fā)布前，World Leaks已將Nike從其泄露名單中移除。這一舉動(dòng)被外界解讀為雙方可能正在談判，或Nike已支付贖金以換取數(shù)據(jù)下架。不過(guò)，Nike并未就此作出確認(rèn)，媒體也無(wú)法獨(dú)立驗(yàn)證所謂泄露文件是否真實(shí)有效。

World Leaks被認(rèn)為是勒索軟件組織Hunters International的“重塑版本”。Hunters International于2023年末出現(xiàn)，曾因代碼相似性被懷疑與Hive勒索軟件有關(guān)。該組織在2025年1月轉(zhuǎn)向“僅數(shù)據(jù)竊取與敲詐”的攻擊模式，放棄文件加密，原因是認(rèn)為傳統(tǒng)勒索攻擊風(fēng)險(xiǎn)過(guò)高、收益下降。Hunters International曾聲稱(chēng)對(duì)280多起攻擊負(fù)責(zé)，受害者包括美國(guó)法警局、塔塔科技、日本豪雅（Hoya）、AutoCanada 以及美國(guó)海軍承包商 Austal USA 等。

此外，自World Leaks活躍以來(lái)，其泄露網(wǎng)站已公布了全球數(shù)十家機(jī)構(gòu)的數(shù)據(jù)。其關(guān)聯(lián)人員還被指與戴爾某產(chǎn)品演示平臺(tái)被入侵事件有關(guān)，并利用已停止支持的SonicWall SMA 100設(shè)備植入自定義OVERSTEP RootKit惡意軟件。

黑客信息披露

本月收集到的黑客郵箱信息如下

表1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。

以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

?

圖8. 2026年1月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有702個(gè)組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含中國(guó)18個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有24個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，具有黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows 7、Windows 10以及Windows Server 2016。

?

圖9. 2026年1月受攻擊系統(tǒng)占比

對(duì)2026年1月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

?

圖10. 2026年1月國(guó)內(nèi)受攻擊地區(qū)占比排名?

通過(guò)觀察2026年1月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

?

圖11. 2026年1月監(jiān)控到的RDP入侵量

?

圖12. 2026年1月監(jiān)控到的MS SQL入侵量?

?

圖13. 2026年1月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

2?rx：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類(lèi)軟件漏洞進(jìn)行投毒，通過(guò)powershell加載攻擊載荷并注入系統(tǒng)進(jìn)程，多輪加載不同的漏洞驅(qū)動(dòng)與安全軟件進(jìn)行內(nèi)核對(duì)抗。部分版本會(huì)通過(guò)暴力破解登錄數(shù)據(jù)庫(kù)，植入Anydesk遠(yuǎn)控進(jìn)行手動(dòng)投毒。

2?wman：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語(yǔ)言編譯，目前僅在國(guó)內(nèi)傳播。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令，成功后手動(dòng)投毒。

2?nezha：屬于Beast勒索軟件家族，該家族的傳播方式多樣，具備暴力破解、漏洞利用、共享加密等多種攻擊方式，同時(shí)具備跨平臺(tái)加密能力。

2?mtullo：新增勒索家族或變種，由于相關(guān)受害者均未配合進(jìn)行溯源分析，故待后續(xù)有效反饋再進(jìn)行研判。

2?weax：同rx。

2?lockbit：屬于LockBit勒索軟件家族，傳播方式多樣。包括廣撒網(wǎng)與定向釣魚(yú)、遠(yuǎn)程桌面或數(shù)據(jù)庫(kù)暴破登錄、漏洞利用、僵尸網(wǎng)絡(luò)下發(fā)、遠(yuǎn)程憑據(jù)劫持等。

2?revrac：屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

2?1mwwillc4：同lockbit。

2?qrxnm74sx：同lockbit。

2?888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)口令，成功后手動(dòng)投毒。

?

圖14. 2026年1月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Phobos，其次是MiddCrypto。使用解密大師解密文件的用戶(hù)數(shù)量最高的是被Crysis家族加密的設(shè)備。

?

圖15. 2026年1月解密大師解密文件數(shù)及設(shè)備數(shù)排名