2025年12月勒索軟件流行態(tài)勢分析

勒索軟件傳播至今，360反勒索服務(wù)已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進(jìn)行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年12月，全球新增的雙重勒索軟件有MintEye、MS13-089、Sicari、Osiris、Dark Shinigamis家族，傳統(tǒng)勒索軟件家族新增MiddCrypto、Marabu等多個家族。

其中MiddCrypto家族通過釣魚方式進(jìn)行傳播，通過植入付費軟件的注冊機(jī)程序進(jìn)行傳播。該勒索軟件采用.NET進(jìn)行編寫，加入了大量混淆與環(huán)境檢測試圖繞過安全軟件識別。在經(jīng)過其云控的復(fù)雜條件篩選與用戶畫像識別后進(jìn)行加密，加密后會從云端下載二維碼引導(dǎo)受害者支付解密贖金。360反勒索團(tuán)隊在接到用戶反饋后第一時間進(jìn)行了分析并提供了解密方案。Marabu家族則是一個使用Rust語言編寫并同時大量使用了AI輔助進(jìn)行代碼生成的勒索家族，該家族主要攻擊Linux平臺。

本月國內(nèi)熱門的Top1家族Weaxor家族進(jìn)行了一次變種，主流加密后綴變更為.rx，攻擊方式依舊是利用Web漏洞發(fā)起攻擊，并通過注入系統(tǒng)進(jìn)程輪詢加載漏洞驅(qū)動，與安全軟件做內(nèi)核對抗。

以下是本月值得關(guān)注的部分熱點：

LockBit5.0強(qiáng)勢回歸

新型DroidLock可鎖定安卓設(shè)備并索要贖金

PornHub因黑客竊取高級會員活動數(shù)據(jù)而被勒索

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級威脅研究分析中心（CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計：Weaxor家族占比32.65%居首位，第二的是Wmansvcs占比24.49%，Beast家族以10.2%位居第三。

?

圖1. 2025年12月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2012以及Windows Server?2016。

?

圖2. 2025年12月勒索軟件入侵操作系統(tǒng)占比

2025年12月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型服務(wù)器與桌面PC完全持平。

?

圖3. 2025年12月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點事件

LockBit5.0強(qiáng)勢回歸

12月初，LockBit5.0版本發(fā)布頁面正式回歸。在此期間360已捕獲了該版本的大量在野樣本。僅在短短一周內(nèi)LockBit5.0就發(fā)布了41個受害者的勒索信息，其中涉及2家中資企業(yè)。其實LockBit家族長期以來并未因境外監(jiān)管機(jī)構(gòu)取締而消亡，其自身與衍生家族在國內(nèi)常年傳播，并攻擊了大量中小企業(yè)與個人用戶。本次針對大型企業(yè)暗網(wǎng)勒索發(fā)布頁的強(qiáng)勢回歸，需引起廣大企事業(yè)單位重視。

?

圖4. LockBit5.0暗網(wǎng)主頁

早在今年9月份，LockBit5新版招募合作伙伴期間就曾經(jīng)預(yù)告過新版將增加更多攻擊形式。在本輪攻擊中360反勒索服務(wù)也第一時間證實了新的攻擊形式：即采用多輪人工參與的電詐模式，由此前的廣撒網(wǎng)式釣魚升級為定向釣魚攻擊。

此前各國公開的權(quán)威安全報告中（官方機(jī)構(gòu) / 安全廠商 / CERT通報），很少有明確披露真實具體的LockBit定向釣魚（spear-phishing）案例細(xì)節(jié)——比如具體受害者、郵件內(nèi)容、攻擊郵件鏈路等。官方大部分說明是基于技術(shù)分析與ATT&CK術(shù)語層面的合理推斷或可能性，而非公開“某某公司被 LockBit 通過定向釣魚攻陷”的具體、可核查的實例。

?

圖5. LockBit勒索軟件利用定向釣魚方式入侵系統(tǒng)

新型DroidLock可鎖定安卓設(shè)備并索要贖金

DroidLock 是一種新發(fā)現(xiàn)的 Android 惡意軟件，專門針對西班牙語用戶。該惡意軟件通過惡意網(wǎng)站分發(fā)，偽裝成合法應(yīng)用程序，誘使用戶安裝。安裝后，DroidLock 能夠完全控制受感染設(shè)備，鎖定屏幕并要求支付贖金，還能訪問設(shè)備中的短信、通話記錄、聯(lián)系人、音頻記錄，甚至刪除數(shù)據(jù)。攻擊者通過 VNC 分享系統(tǒng)實現(xiàn)遠(yuǎn)程控制，并能竊取設(shè)備的鎖屏圖案。

DroidLock 的感染過程始于一個被稱為 "dropper”（引導(dǎo)程序）的惡意應(yīng)用。這個應(yīng)用偽裝成正常軟件，誘使用戶安裝，并加載實際的惡意負(fù)載。一旦惡意軟件安裝成功，它會通過應(yīng)用更新請求，將主惡意代碼傳送到設(shè)備上。此時，惡意軟件會請求設(shè)備的管理員權(quán)限和輔助服務(wù)權(quán)限，以便執(zhí)行各種欺詐性操作。

DroidLock 通過在受感染設(shè)備上顯示覆蓋層，顯示勒索信息，要求受害者支付贖金，否則會威脅永久刪除文件。與傳統(tǒng)的勒索軟件不同，DroidLock 不加密文件，而是通過威脅刪除文件來達(dá)到勒索目的。攻擊者還可以通過修改鎖屏密碼，進(jìn)一步限制用戶訪問設(shè)備。此外，DroidLock 還支持多達(dá) 15 個惡意命令，包括發(fā)送通知、啟用相機(jī)、恢復(fù)出廠設(shè)置、安裝卸載應(yīng)用等。

DroidLock 的另一個顯著特性是竊取鎖屏圖案。當(dāng)用戶在惡意覆蓋界面上繪制鎖屏圖案時，圖案會直接發(fā)送給攻擊者，允許其遠(yuǎn)程控制設(shè)備。攻擊者可以通過 VNC 遠(yuǎn)程訪問設(shè)備，進(jìn)行進(jìn)一步的惡意操作。

PornHub因黑客竊取高級會員活動數(shù)據(jù)而被勒索

成人視頻平臺PornHub近日披露，其部分Premium會員的搜索和觀看歷史數(shù)據(jù)被用于勒索，幕后團(tuán)伙為知名數(shù)據(jù)勒索組織ShinyHunters。事件源于第三方數(shù)據(jù)分析服務(wù)商Mixpanel在2025年12月8日遭遇一次短信釣魚攻擊，攻擊者借此入侵其系統(tǒng)并竊取客戶數(shù)據(jù)。PornHub表示，受影響的僅為少量Premium用戶，且并非PornHub自身系統(tǒng)被攻破，用戶的密碼、支付及財務(wù)信息并未泄露；相關(guān)數(shù)據(jù)主要是2021年或更早的歷史分析數(shù)據(jù)。

ShinyHunters向PornHub發(fā)出勒索郵件，聲稱竊取了94GB、約2.01億條記錄，內(nèi)容涵蓋Premium用戶的郵箱地址、活動類型、地理位置、視頻URL、視頻名稱、關(guān)鍵詞及具體時間戳，包括觀看、下載、頻道瀏覽及搜索歷史等高度敏感行為數(shù)據(jù)。

Mixpanel則回應(yīng)稱，無法確認(rèn)這些數(shù)據(jù)來自2025年12月的安全事件，并表示相關(guān)數(shù)據(jù)最后一次訪問來自 PornHub 母公司的一名合法員工賬戶（2023年）。

這是首次公開確認(rèn)ShinyHunters是Mixpanel事件背后的攻擊者。該團(tuán)伙2025年還涉及多起重大數(shù)據(jù)泄露，并關(guān)聯(lián)Oracle E-Business Suite的0day漏洞及多起Salesforce相關(guān)攻擊。同時，ShinyHunters正在打造新的RaaS平臺“ShinySpid3r”，進(jìn)一步擴(kuò)大其網(wǎng)絡(luò)犯罪活動。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

?

圖6. 2025年12月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有808個組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含中國7個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有21個組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，具有黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server?2008、Windows 7以及Windows 10。

?

圖7.?2025年12月受攻擊系統(tǒng)占比

對2025年12月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進(jìn)行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

?

圖8. 2025年12月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年12月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

?

圖9. 2025年12月監(jiān)控到的RDP入侵量

?

圖10. 2025年12月監(jiān)控到的MS SQL入侵量

?

圖11. 2025年12月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

2weax：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞利用方式進(jìn)行投毒，通過powershell加載攻擊載荷并注入系統(tǒng)進(jìn)程多輪加載不同的漏洞驅(qū)動，與安全軟件進(jìn)行內(nèi)核對抗。部分版本會通過暴力破解登錄數(shù)據(jù)庫后，植入Anydesk遠(yuǎn)控進(jìn)行手動投毒。

2wman：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語言編譯，目前僅在國內(nèi)傳播。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令，成功后手動投毒。

2wstop：屬于RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設(shè)備。

2rx：同weax。

2mallox：屬于TargetCompany(Mallox）勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒和SQLGlobeImposter渠道進(jìn)行傳播，后來增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

2taps：屬于Paradise勒索軟件家族，該家族目前的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2revrac：屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

2mkp：同revrac。

2[email protected]：同weax。

2baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

?

圖12.?2025年12月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Phobos其次是FreeFix。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

?

圖13. 2025年12月解密大師解密文件數(shù)及設(shè)備數(shù)排名