2026年1月勒索軟件流行態(tài)勢(shì)分析
勒索軟件傳播至今,360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)例勒索軟件感染求助。隨著新型勒索軟件的快速蔓延,企業(yè)數(shù)據(jù)泄漏風(fēng)險(xiǎn)不斷上升,勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣,危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御,為需要幫助的用戶(hù)提供360反勒索服務(wù)。
2026年1月,全球新增的雙重勒索軟件有BravoX、ClearWater、Vect、GreenBlood家族,傳統(tǒng)勒索軟件家族新增Milkyway、RahidsLocker、GrandMonty、PurpleCryptr等多個(gè)家族。
本月在國(guó)內(nèi)持續(xù)熱門(mén)的勒索家族Weaxor家族新增了一個(gè)分支變種,主流加密后綴變更為.xr,攻擊方式依舊是利用Web漏洞發(fā)起攻擊并通過(guò)注入系統(tǒng)進(jìn)程輪詢(xún)加載漏洞驅(qū)動(dòng),與安全軟件做內(nèi)核對(duì)抗。
本月出現(xiàn)了一個(gè)名為0APT的勒索軟件組織,但實(shí)際上是一個(gè)詐騙團(tuán)伙。該組織利用AI生成的虛假受害公司對(duì)外發(fā)布信息,并夾雜少量真實(shí)的受害公司,以制造看似真實(shí)的假象。目前該組織開(kāi)始招募所謂的“黑帽黑客”,但其真實(shí)目的并不是組織勒索攻擊,而是詐騙并竊取被招募者的比特幣。 此案例佐證了一個(gè)長(zhǎng)期存在的現(xiàn)實(shí):網(wǎng)絡(luò)詐騙攻擊不只面向普通民眾,同樣廣泛針對(duì)安全分析人員、黑產(chǎn)從業(yè)者、IT管理員等傳統(tǒng)意義上的所謂的技術(shù)認(rèn)知強(qiáng)的目標(biāo)群體。
以下是本月值得關(guān)注的部分熱點(diǎn):
① LockBit變種兩度利用僵尸網(wǎng)絡(luò)下發(fā)
② MiddCrypto勒索軟件利用國(guó)內(nèi)全實(shí)名平臺(tái)鏈路進(jìn)行投毒
③ Nike在勒索團(tuán)伙公布文件后調(diào)查數(shù)據(jù)泄露事件
基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判,360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員)發(fā)布本報(bào)告。
安全軟件占比分析
360反勒索服務(wù)已經(jīng)存在十年以上,并長(zhǎng)期致力于服務(wù)來(lái)自全網(wǎng)的勒索病毒攻擊的響應(yīng)、分析、處置、攻防、預(yù)警、解密工作。自2026年1月起,新增安全軟件占比統(tǒng)計(jì),主要用于評(píng)估當(dāng)前復(fù)雜網(wǎng)絡(luò)攻防態(tài)勢(shì)下愈發(fā)嚴(yán)重的基線(xiàn)安全問(wèn)題,為勒索相關(guān)的攻擊事件提供接近真實(shí)維度的數(shù)據(jù)。
本月的勒索反饋中未裝安全軟件的占比達(dá)到70%,而未正常啟用360安全軟件的設(shè)備數(shù)量則占比12%,安裝了其他安全軟件的設(shè)備則占比18%。在溯源分析中發(fā)現(xiàn),所有安裝了360安全軟件的反饋設(shè)備均未開(kāi)啟相關(guān)防護(hù),尚未發(fā)現(xiàn)繞過(guò)360多維防御體系的勒索攻擊。
?
圖1. 2026年1月勒索軟件中招設(shè)備中安裝的安全軟件占比
感染數(shù)據(jù)分析
針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì):Weaxor家族占比38.55%居首位,第二的是LockBit占比21.69%,Wmansvcs家族以16.47%占比位居第三。
?
圖2. 2026年1月勒索軟件家族占比
對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì),位居前三的是:Windows 10、Windows 11以及Windows Server 2012。
?
圖3. 2026年1月勒索軟件入侵操作系統(tǒng)占比
2026年1月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示,受攻擊的系統(tǒng)類(lèi)型桌面PC大幅領(lǐng)先服務(wù)器,Nas平臺(tái)攻擊行為有所增加。
?
圖4. 2026年1月勒索軟件入侵操作系統(tǒng)類(lèi)型占比
勒索軟件熱點(diǎn)事件
LockBit變種兩度利用僵尸網(wǎng)絡(luò)下發(fā)
360反勒索服務(wù)在1月5日與1月23日分別接到數(shù)十例LockBit家族變種感染的集中反饋,在一些社交媒體平臺(tái)也會(huì)看到同期LockBit家族相關(guān)的受害案例。經(jīng)360溯源分析確認(rèn)相關(guān)LockBit變種是通過(guò)先前感染過(guò)的僵尸網(wǎng)絡(luò)渠道進(jìn)行的聯(lián)網(wǎng)下發(fā),感染設(shè)備均無(wú)360防護(hù)。受害者包括企業(yè)與個(gè)人用戶(hù),相關(guān)僵尸網(wǎng)絡(luò)具備內(nèi)網(wǎng)滲透能力,一經(jīng)發(fā)現(xiàn)需全員殺毒加固。
?
圖5. 360滲透痕跡記錄功能發(fā)現(xiàn)并攔截僵尸網(wǎng)絡(luò)感染行為
在1月23日LockBit變種版本的勒索贖金要求降低為300美元,相比1月5日那一批500美元的贖金降低了40%。根據(jù)前一批500美元贖金的受害者反饋,第三方贖金中介打著解密或數(shù)據(jù)恢復(fù)幌子收取的成交金額是3700人民幣。預(yù)計(jì)本批次的第三方中介的贖金費(fèi)用在2300左右。由于受害金額無(wú)法立案,進(jìn)一步杜絕了受害者嘗試報(bào)警的可能性。
?
圖6. Lockbit勒索信息?
MiddCrypto勒索軟件利用國(guó)內(nèi)全實(shí)名平臺(tái)鏈路進(jìn)行勒索投毒
本月360率先獨(dú)家解密了通過(guò)激活工具與破解軟件進(jìn)行釣魚(yú)傳播的MiddCrypto勒索軟件,其利用備案網(wǎng)站、博客園、51cto、百度網(wǎng)盤(pán)等渠道進(jìn)行傳播,同時(shí)利用微信與支付寶進(jìn)行勒索變現(xiàn)。此勒索軟件在受害用戶(hù)設(shè)備上會(huì)上傳數(shù)據(jù)識(shí)別用戶(hù)畫(huà)像,進(jìn)行特定后綴的加密以及支付贖金的云控調(diào)整。
360第一時(shí)間進(jìn)行了勒索代碼的分析與數(shù)據(jù)解密,并將分析與解密結(jié)論形成了分析報(bào)告,報(bào)告詳細(xì)內(nèi)容可參見(jiàn)如下鏈接:
https://news.safe.#/n/12876.html
?
圖7. MiddCrypto勒索軟件感染流程示意圖?
Nike在勒索團(tuán)伙公布文件后調(diào)查數(shù)據(jù)泄露事件
Nike正在調(diào)查一起其所稱(chēng)的“潛在網(wǎng)絡(luò)安全事件”。此前,勒索與數(shù)據(jù)敲詐組織World Leaks在其暗網(wǎng)泄露網(wǎng)站上發(fā)布信息,聲稱(chēng)從這家運(yùn)動(dòng)服飾巨頭竊取了約1.4TB數(shù)據(jù)、近19萬(wàn)份文件,內(nèi)容涉及Nike的企業(yè)內(nèi)部資料和業(yè)務(wù)運(yùn)營(yíng)信息。Nike在回應(yīng)媒體時(shí)表示,公司一貫高度重視消費(fèi)者隱私和數(shù)據(jù)安全,目前正對(duì)事件展開(kāi)調(diào)查并評(píng)估影響,但尚未證實(shí)數(shù)據(jù)被盜或泄露的真實(shí)性。
值得注意的是,在相關(guān)報(bào)道發(fā)布前,World Leaks已將Nike從其泄露名單中移除。這一舉動(dòng)被外界解讀為雙方可能正在談判,或Nike已支付贖金以換取數(shù)據(jù)下架。不過(guò),Nike并未就此作出確認(rèn),媒體也無(wú)法獨(dú)立驗(yàn)證所謂泄露文件是否真實(shí)有效。
World Leaks被認(rèn)為是勒索軟件組織Hunters International的“重塑版本”。Hunters International于2023年末出現(xiàn),曾因代碼相似性被懷疑與Hive勒索軟件有關(guān)。該組織在2025年1月轉(zhuǎn)向“僅數(shù)據(jù)竊取與敲詐”的攻擊模式,放棄文件加密,原因是認(rèn)為傳統(tǒng)勒索攻擊風(fēng)險(xiǎn)過(guò)高、收益下降。Hunters International曾聲稱(chēng)對(duì)280多起攻擊負(fù)責(zé),受害者包括美國(guó)法警局、塔塔科技、日本豪雅(Hoya)、AutoCanada 以及美國(guó)海軍承包商 Austal USA 等。
此外,自World Leaks活躍以來(lái),其泄露網(wǎng)站已公布了全球數(shù)十家機(jī)構(gòu)的數(shù)據(jù)。其關(guān)聯(lián)人員還被指與戴爾某產(chǎn)品演示平臺(tái)被入侵事件有關(guān),并利用已停止支持的SonicWall SMA 100設(shè)備植入自定義OVERSTEP RootKit惡意軟件。
黑客信息披露
本月收集到的黑客郵箱信息如下

表1. 黑客郵箱
當(dāng)前,通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多,勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。
以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比,該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分(已經(jīng)支付贖金的企業(yè)或個(gè)人,可能不會(huì)出現(xiàn)在這個(gè)清單中)。
?
圖8. 2026年1月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比
以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查,做好數(shù)據(jù)已被泄露準(zhǔn)備,采取補(bǔ)救措施。
本月總共有702個(gè)組織/企業(yè)遭遇雙重勒索/多重勒索攻擊,其中包含中國(guó)18個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有24個(gè)組織/企業(yè)未被標(biāo)明,因此不在以下表格中。










表2. 受害組織/企業(yè)
系統(tǒng)安全防護(hù)數(shù)據(jù)分析
360系統(tǒng)安全產(chǎn)品,具有黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中,排行前三的依次為Windows 7、Windows 10以及Windows Server 2016。
?
圖9. 2026年1月受攻擊系統(tǒng)占比
對(duì)2026年1月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn),與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比,地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。
?
圖10. 2026年1月國(guó)內(nèi)受攻擊地區(qū)占比排名?
通過(guò)觀察2026年1月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn),RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。
?
圖11. 2026年1月監(jiān)控到的RDP入侵量
?
圖12. 2026年1月監(jiān)控到的MS SQL入侵量?
?
圖13. 2026年1月監(jiān)控到的MYSQL入侵量
勒索軟件關(guān)鍵詞
以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì),數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。
2?rx:屬于Weaxor勒索軟件家族,該家族目前的主要傳播方式為:利用各類(lèi)軟件漏洞進(jìn)行投毒,通過(guò)powershell加載攻擊載荷并注入系統(tǒng)進(jìn)程,多輪加載不同的漏洞驅(qū)動(dòng)與安全軟件進(jìn)行內(nèi)核對(duì)抗。部分版本會(huì)通過(guò)暴力破解登錄數(shù)據(jù)庫(kù),植入Anydesk遠(yuǎn)控進(jìn)行手動(dòng)投毒。
2?wman:屬于Wmansvcs家族,高度模仿phobos家族并使用Rust語(yǔ)言編譯,目前僅在國(guó)內(nèi)傳播。該家族的主要傳播方式為:通過(guò)暴力破解遠(yuǎn)程桌面口令,成功后手動(dòng)投毒。
2?nezha:屬于Beast勒索軟件家族,該家族的傳播方式多樣,具備暴力破解、漏洞利用、共享加密等多種攻擊方式,同時(shí)具備跨平臺(tái)加密能力。
2?mtullo:新增勒索家族或變種,由于相關(guān)受害者均未配合進(jìn)行溯源分析,故待后續(xù)有效反饋再進(jìn)行研判。
2?weax:同rx。
2?lockbit:屬于LockBit勒索軟件家族,傳播方式多樣。包括廣撒網(wǎng)與定向釣魚(yú)、遠(yuǎn)程桌面或數(shù)據(jù)庫(kù)暴破登錄、漏洞利用、僵尸網(wǎng)絡(luò)下發(fā)、遠(yuǎn)程憑據(jù)劫持等。
2?revrac:屬于Makop勒索軟件家族,由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為:通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。
2?1mwwillc4:同lockbit。
2?qrxnm74sx:同lockbit。
2?888:屬于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為:通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)口令,成功后手動(dòng)投毒。
?
圖14. 2026年1月反病毒搜索引擎關(guān)鍵詞搜索排名
解密大師
從解密大師本月解密數(shù)據(jù)看,解密量最大的是Phobos,其次是MiddCrypto。使用解密大師解密文件的用戶(hù)數(shù)量最高的是被Crysis家族加密的設(shè)備。
?
圖15. 2026年1月解密大師解密文件數(shù)及設(shè)備數(shù)排名
360安全衛(wèi)士
360殺毒
360文檔衛(wèi)士
360安全瀏覽器
360極速瀏覽器
360安全云盤(pán)
360隨身WiFi
360搜索
系統(tǒng)急救箱
重裝大師
勒索病毒救助
急救盤(pán)
高危漏洞免疫
360壓縮
驅(qū)動(dòng)大師
魯大師
360換機(jī)助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機(jī)衛(wèi)士
360防騷擾大師
360加固保
360貸款神器
360手機(jī)瀏覽器
360安全云盤(pán)
360免費(fèi)WiFi
安全客
手機(jī)助手
安全換機(jī)
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機(jī)專(zhuān)家
快剪輯
360影視
360娛樂(lè)
快資訊
你財(cái)富
360借條
360互助
信貸管家
360攝像機(jī)云臺(tái)AI版
360攝像機(jī)小水滴AI版
360攝像機(jī)云臺(tái)變焦版
360可視門(mén)鈴
360攝像機(jī)云臺(tái)1080p
家庭防火墻V5S增強(qiáng)版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車(chē)記錄儀M310
行車(chē)記錄儀K600
行車(chē)記錄儀G380
360行車(chē)記錄儀G600
兒童安全座椅
360掃地機(jī)器人X90
360掃地機(jī)器人T90
360掃地機(jī)器人S7
360掃地機(jī)器人S6
360掃地機(jī)器人S5
360安全衛(wèi)士
360殺毒
360文檔衛(wèi)士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統(tǒng)急救箱
重裝大師
急救盤(pán)
勒索病毒救助
360壓縮
驅(qū)動(dòng)大師
魯大師
360游戲大廳
360軟件管家
360手機(jī)衛(wèi)士
360防騷擾大師
手機(jī)急救箱
360加固保
360貸款神器
360免費(fèi)WiFi
安全客
手機(jī)助手
一鍵root
安全換機(jī)
360幫幫
信用衛(wèi)士
清理大師
省電王
360商城
流量衛(wèi)士
360天氣
360鎖屏
手機(jī)專(zhuān)家
快剪輯
360影視
360娛樂(lè)
快資訊
你財(cái)富
360借條
360手機(jī)N7
360手機(jī)N6
Pro
360手機(jī)vizza
360手機(jī)N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機(jī)大眾版
360安全路由器P3
360安全路由器P2
360兒童機(jī)器人
外設(shè)產(chǎn)品
影音娛樂(lè)
平板電腦
二手手機(jī)
二代 美猴王版
二代
美猴王領(lǐng)航版
標(biāo)準(zhǔn)升級(jí)版
后視鏡版
車(chē)載電器
京公網(wǎng)安備 11000002000006號(hào)