2025年10月勒索軟件流行態(tài)勢分析

勒索軟件傳播至今，360反勒索服務已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。

2025年10月，全球新增的雙重勒索軟件有Tengu、Kyber、Genesis、Brotherhood、Radiant、Nasirsecurity等多個家族，傳統(tǒng)勒索軟件家族新增Monkey、ThunderKitty、BrawLocker等多個家族。其中Monkey家族有明顯的AI生成痕跡，在其Linux版本的樣本中存在刪除Windows卷影副本的代碼。BrawLocker則使用Powershell腳本通過投毒者手動輸入密鑰加密Braw后綴的文件，此類文件是Blackmagic Design的Blackmagic RAW原始視頻格式，用來保存攝像機傳感器的原始影像數(shù)據(jù)和元數(shù)據(jù)，以便在后期進行高動態(tài)范圍調(diào)色與處理。

加密后綴為spmodvf的勒索軟件已經(jīng)在國內(nèi)持續(xù)傳播數(shù)月，已在本月沖入TOP榜單。遺憾的是，該勒索軟件受害者數(shù)月來無一例配合進行溯源分析，而是第一時間選擇重裝或重置系統(tǒng)。而從運維人員反饋看，該家族勒索軟件的受害者多集中在醫(yī)療行業(yè)。根據(jù)11月1日起開始實施的《國家網(wǎng)絡安全事件報告管理辦法》相關規(guī)定，對于此類網(wǎng)絡安全事件的報告已成為法定義務。在國家對網(wǎng)絡安全的日益重視，以及相關法律法規(guī)日趨完善的背景下，我們相信今后對此類勒索攻擊事件的溯源工作可以開展得更加順利。

以下是本月值得關注的部分熱點：

美國航空子公司Envoy Air遭Oracle數(shù)據(jù)竊取攻擊

零售巨頭無印良品因供應商遭勒索攻擊而停止在線銷售

Qilin勒索軟件在Windows中利用WSL來運行Linux加密器

基于對360反勒索服務數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心（CCTGA勒索軟件防范應對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設備所中病毒家族進行統(tǒng)計：Weaxor家族占比38.06%居首位，第二的是Wmansvcs占比21.64%，LockBit家族以8.96%占比位居第三。

?

圖1. 2025年10月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

?

圖2. 2025年10月勒索軟件入侵操作系統(tǒng)占比

2025年10月被感染的系統(tǒng)中桌面系統(tǒng)和服務器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型服務器小幅領先桌面PC。

?

圖3. 2025年10月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點事件

美國航空子公司Envoy Air遭Oracle數(shù)據(jù)竊取攻擊

美國航空子公司Envoy Air確認遭受Oracle數(shù)據(jù)竊取攻擊。根據(jù)報道，Cl0p勒索軟件團伙通過Oracle E-Business Suite應用程序，竊取了Envoy Air的部分商業(yè)信息和聯(lián)系方式，并將美國航空列入其數(shù)據(jù)泄露網(wǎng)站。盡管Envoy Air表示未發(fā)現(xiàn)敏感或客戶數(shù)據(jù)被泄露，但該事件仍然引起了廣泛關注。

此次安全事件源自Cl0p團伙對Oracle E-Business Suite系統(tǒng)的攻擊。早在2024年8月，Cl0p就利用一個零日漏洞（CVE-2025-61882）侵入多個組織，部署惡意軟件并竊取數(shù)據(jù)。盡管Oracle曾表示攻擊者利用的漏洞已在7月修復，但后續(xù)情況表明，攻擊者利用了這一未修補的零日漏洞。Cl0p團伙并未披露受影響的具體公司數(shù)量，但據(jù)了解，至少有數(shù)十家組織遭到數(shù)據(jù)竊取。

此外，Cl0p團伙還在同一波攻擊中向哈佛大學施壓，即便只有少數(shù)與該校某小型行政單元相關的人員受到影響。Cl0p此前已在2023年通過多個漏洞攻擊多個平臺，如MOVEit Transfer和GoAnywhere MFT，導致全球上千家公司的數(shù)據(jù)遭竊。

Cl0p自2019年起開始活躍，最初以加密勒索為主，之后轉向利用零日漏洞竊取數(shù)據(jù)，已成為全球最知名的勒索軟件團伙之一。美國國務院目前提供1000萬美元獎勵，尋求與該團伙活動相關的外國政府信息。

零售巨頭無印良品因供應商遭勒索攻擊而停止在線銷售

近日，日本零售公司無印良品因其配送合作伙伴Askul遭遇勒索軟件攻擊，導致無印良品的在線商店服務暫停。此次事件影響了包括在線購物、訂單歷史查看和網(wǎng)頁內(nèi)容顯示等多個服務功能。無印良品在日本時間周日晚間宣布暫停相關服務，并在周一下午的更新內(nèi)容中表示，除在線購買和申請月度服務外，其他功能已恢復。公司目前正在調(diào)查哪些訂單受到影響，并計劃通過郵件通知受影響的客戶。

Askul，作為一個主要處理辦公用品及物流業(yè)務的電商平臺，確認遭遇勒索病毒攻擊，導致其網(wǎng)站和訂單處理系統(tǒng)癱瘓。這次攻擊造成了多個業(yè)務中斷，包括退貨申請、收據(jù)郵寄、目錄郵寄等服務暫停。同時，通過電話或網(wǎng)站也無法聯(lián)系Askul客服。Askul正在調(diào)查是否有個人信息泄露，截至目前，尚未有勒索軟件團伙宣布對此次攻擊負責。

因Askul專門處理無印良品在日本地區(qū)的訂單，此次攻擊事件僅影響無印良品在日本的業(yè)務，無印良品在其他國家的門店運營正常，沒有受到此次攻擊影響。

Qilin勒索軟件在Windows中利用WSL來運行Linux加密器

Qilin勒索軟件利用Windows Subsystem for Linux (WSL) 技術，繞過傳統(tǒng)的安全防護，成功在Windows系統(tǒng)上運行Linux加密程序，成為當前最活躍的勒索軟件之一。Qilin最初以“Agenda”之名于2022年8月出現(xiàn)，隨后于9月改名為Qilin。到2025年下半年，該勒索軟件每月攻擊超過40個新受害者，覆蓋62個國家，影響極廣。

Qilin的攻擊手段主要包括使用遠程訪問工具（如AnyDesk、ScreenConnect和Splashtop）入侵目標網(wǎng)絡，竊取憑證和數(shù)據(jù)。同時，攻擊者還利用Windows自帶工具（如Microsoft Paint和Notepad）來掃描文檔中的敏感信息。此外，Qilin勒索軟件還采用了“BYOVD”（自帶漏洞驅動）攻擊技術，通過安裝漏洞驅動程序（如eskle.sys）禁用安全軟件，并使用“dark-kill”和“HRSword”工具清除其惡意活動痕跡。

最具創(chuàng)新性的是，Qilin攻擊者通過WSL在Windows系統(tǒng)上執(zhí)行Linux加密程序。由于Qilin的加密程序是ELF格式的Linux可執(zhí)行文件，無法直接在Windows系統(tǒng)上運行，因此攻擊者利用WSL功能，在Windows 境中運行這些程序，成功規(guī)避了許多傳統(tǒng)Windows安全工具的檢測。這種方法顯示了勒索軟件家族如何適應混合Windows和Linux環(huán)境，進一步增強其攻擊能力。

通過這種方法，Qilin勒索軟件能夠最大化提升其攻擊范圍，并繞過許多依賴于Windows操作系統(tǒng)行為的防御機制，使得檢測和防范變得更加困難。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

?

圖4. 2025年10月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準備，采取補救措施。

本月總共有781個組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含中國7個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有14個組織/企業(yè)未被標明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，具有黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

?

圖5 2025年10月受攻擊系統(tǒng)占比

對2025年10月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是受攻擊的主要對象。

?

圖6. 2025年10月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年10月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

?

圖7. 2025年10月監(jiān)控到的RDP入侵量

?

圖8. 2025年10月監(jiān)控到的MS SQL入侵量

?

圖9. 2025年10月監(jiān)控到的MYSQL入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

2wax：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞利用方式進行投毒，通過powershell加載攻擊載荷，并注入系統(tǒng)進程多輪加載不同的漏洞驅動與安全軟件進行內(nèi)核對抗。部分版本會通過暴力破解登錄數(shù)據(jù)庫后，植入Anydesk遠控進行手動投毒。

2weax：同wax。

2roxaew：同wax。

2888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫口令，成功后手動投毒。

2peng：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語言編譯，目前僅在國內(nèi)傳播。該家族的主要傳播方式為：通過暴力破解遠程桌面口令，成功后手動投毒。

2bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2spmodvf：目前此擴展名反饋的用戶均未提供溯源信息，暫未研判家族歸屬與攻擊方式。

2mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，后來增加了漏洞利用的傳播方式。此外，360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡進行傳播。

2beast：屬于Beast勒索軟件家族，該家族的傳播方式多樣，具備暴力破解、漏洞利用、共享加密等多種攻擊方式，同時具備跨平臺加密能力。

2mkp：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

?

圖10 2025年10月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Phobos，其次是Crysis。使用解密大師解密文件的用戶數(shù)量最多的是被Crysis家族加密的設備。

?

圖11. 2025年10月解密大師解密文件數(shù)及設備數(shù)排名