360年度勒索軟件流行態(tài)勢報告發(fā)布：AI成未來勒索對抗決勝因素

近日，360數(shù)字安全集團(tuán)以2025年全年勒索軟件事件監(jiān)測、分析與處置數(shù)據(jù)為基石，融合國內(nèi)外一線安全態(tài)勢數(shù)據(jù)、權(quán)威研究報告及國際熱點(diǎn)事件情報，經(jīng)綜合研判梳理后，權(quán)威發(fā)布《2025年勒索軟件流行態(tài)勢報告》(以下簡稱“報告”)。該報告基于對勒索軟件傳播特征、演變規(guī)律與發(fā)展趨勢的深度剖析，系統(tǒng)性解構(gòu)了其背后生態(tài)鏈的演進(jìn)邏輯，旨在助力政企機(jī)構(gòu)構(gòu)建覆蓋“監(jiān)測預(yù)警、應(yīng)急響應(yīng)、長效防護(hù)”的體系化防御能力，為數(shù)字安全建設(shè)提供有力的實(shí)踐指引與策略支撐。

勒索態(tài)勢整體平穩(wěn) 加密技術(shù)轉(zhuǎn)向性能競逐

報告顯示，2025年我國勒索軟件傳播態(tài)勢總體延續(xù)了2024年以來的相對平穩(wěn)狀態(tài)，雖不斷涌現(xiàn)新的勒索家族且傳統(tǒng)團(tuán)伙攻擊仍頻繁，對個人、企業(yè)與政府機(jī)構(gòu)持續(xù)形成威脅，但未出現(xiàn)單一勒索軟件在短期內(nèi)引發(fā)大規(guī)模爆發(fā)的情況。這一方面得益于安全廠商技術(shù)能力的持續(xù)提升與協(xié)同應(yīng)對，另一方面也源于各類用戶安全意識的普遍增強(qiáng)。

在過去一年中，360在自研安全智能體蜂群的支撐下，累計(jì)處理勒索攻擊求助超2179例，識別新勒索家族84個，其中多重勒索家族約占半數(shù)；新增支持8款勒索病毒解密，其中7款為全球獨(dú)家解密，共保護(hù)近216萬臺設(shè)備免遭入侵，攔截各類弱口令入侵共計(jì)超過12億次。

從勒索軟件家族分布來看，PC端仍以Weaxor、LockBit與Wmansvcs三大老牌家族及其變種為主。Weaxor憑借Web漏洞利用等手段占據(jù)傳播榜首，并在攻擊中結(jié)合漏洞驅(qū)動進(jìn)行內(nèi)核對抗以提升成功率；Wmansvcs則承接了Phobos的傳播模式，主要在國內(nèi)通過遠(yuǎn)程桌面弱口令爆破傳播；LockBit在年底以5.0版本回歸，并引入第三方黑產(chǎn)團(tuán)伙協(xié)作，進(jìn)一步擴(kuò)大了其威脅生態(tài)。

此外，報告指出，當(dāng)前主流勒索家族普遍采用對稱加密處理大規(guī)模文件數(shù)據(jù)，并以非對稱或橢圓曲線算法保護(hù)密鑰，構(gòu)成兼顧強(qiáng)度與效率的多級加密方案，演化重點(diǎn)正從方案設(shè)計(jì)轉(zhuǎn)向執(zhí)行效率優(yōu)化，以提升加密速度并降低暴露風(fēng)險。

從傳播方式看，勒索軟件的傳播手段依然是以遠(yuǎn)程桌面和漏洞利用兩種為主，僅這兩種傳播途徑就占到了總量的近八成。其中，遠(yuǎn)程桌面入侵目前仍是導(dǎo)致勒索感染的主要途徑，但其優(yōu)勢正在縮小，漏洞利用的比例已與之十分接近。遠(yuǎn)程桌面攻擊持續(xù)高發(fā)，主要因?yàn)樵撌侄我研纬沙墒斓娜肭止ぞ哝湥又罅恐行∑髽I(yè)和日益增多的家庭用戶在公網(wǎng)上開放相關(guān)端口且缺乏有效防護(hù)。

與此同時，漏洞利用攻擊主要集中在Web應(yīng)用及各類管理系統(tǒng)的安全弱點(diǎn)上，已成為當(dāng)前勒索傳播中增長迅速且危害突出的重要渠道。

雙重勒索已成主流 攻擊生態(tài)趨于聯(lián)盟協(xié)作

數(shù)據(jù)作為企業(yè)核心資產(chǎn)，其泄露不僅造成經(jīng)濟(jì)損失，更影響聲譽(yù)、合規(guī)與業(yè)務(wù)連續(xù)性。在此背景下，當(dāng)前勒索攻擊模式不斷演變，已從單純加密數(shù)據(jù)演變?yōu)槎嘀孛{迫的復(fù)雜策略。

報告顯示，2025年參與雙重/多重勒索的活躍勒索軟件家族達(dá)到122個，較2024年增長近三成。其中，頭部Top10家族仍占據(jù)主導(dǎo)地位，但更多新興家族占比顯著提升，呈現(xiàn)出明顯的長尾分布態(tài)勢。

與去年相比，2025年數(shù)據(jù)泄露事件高度集中于服務(wù)業(yè)與制造業(yè)，其次為建筑、醫(yī)療與金融業(yè)。這一變化源于勒索攻擊日益聚焦于設(shè)備規(guī)模大、數(shù)據(jù)價值高的中大型企業(yè)。此外，教育、能源等行業(yè)亦位列前十，凸顯相關(guān)領(lǐng)域亟需加強(qiáng)勒索防護(hù)。目前已公開的被勒索企業(yè)中，美國企業(yè)以超過半數(shù)的占比位居榜首，我國亦有企業(yè)上榜，占比約1.46%。

360安全智能體監(jiān)測顯示，2025年全年共有40個新增勒索軟件家族開始采用雙重/多重勒索模式，表明該模式正持續(xù)擴(kuò)散。與此同時，勒索贖金整體呈現(xiàn)回落趨勢，已從去年動輒千萬美元的普遍水平降至百萬美元量級。即便針對大型企業(yè)的攻擊，如BlackCat對美國環(huán)球健康服務(wù)公司的勒索，金額也控制在2200萬美元，反映出贖金定價趨于理性。

同時，報告總結(jié)指出，2025年勒索軟件的演化呈現(xiàn)以下規(guī)律：生態(tài)協(xié)作而非代碼本身成為家族維系的關(guān)鍵；品牌、團(tuán)伙與開發(fā)者間的界限日益模糊；攻擊主戰(zhàn)場正向云環(huán)境、ESXi及SaaS服務(wù)轉(zhuǎn)移。未來，勒索生態(tài)或?qū)⒏嘁浴奥?lián)盟”形式出現(xiàn)，而非獨(dú)立的家族運(yùn)作。

勒索目標(biāo)聚焦政企 加密威脅瞄準(zhǔn)數(shù)據(jù)庫

360統(tǒng)計(jì)發(fā)現(xiàn)，2025年勒索軟件攻擊的地域分布保持穩(wěn)定，仍集中在數(shù)字經(jīng)濟(jì)發(fā)達(dá)及人口密集地區(qū)。廣東、北京、浙江位列受影響程度前三，這說明發(fā)達(dá)區(qū)域持續(xù)面臨更高威脅。

制造業(yè)、互聯(lián)網(wǎng)及軟件服務(wù)業(yè)以及服務(wù)業(yè)位列受害行業(yè)前三，醫(yī)療等敏感行業(yè)亦在其中。這些領(lǐng)域普遍具有信息化程度高、數(shù)據(jù)資產(chǎn)價值大、支付意愿強(qiáng)的特點(diǎn)，因此面臨更大的暴露面和更高的勒索風(fēng)險，成為攻擊者持續(xù)聚焦的目標(biāo)。

受攻擊系統(tǒng)分布上，Windows 10、Windows Server 2012與2008位列前三。其中Windows 10占比雖仍居首，但較2024年明顯回落，主要受其進(jìn)入生命周期末期及攻擊向政企服務(wù)器傾斜的影響。

從操作系統(tǒng)類型的角度看，桌面PC整體占比亦隨之下降至55.31%，而針對Linux及NAS系統(tǒng)的攻擊則保持穩(wěn)定但占比較低。這一變化反映出勒索攻擊正持續(xù)轉(zhuǎn)向服務(wù)器及政企目標(biāo)，相關(guān)機(jī)構(gòu)需進(jìn)一步提升安全防護(hù)。

較去年相比，數(shù)據(jù)庫與辦公文檔仍是受害方最主要的兩類被加密數(shù)據(jù)，但二者的排序發(fā)生對調(diào)：數(shù)據(jù)庫現(xiàn)居首位，且領(lǐng)先優(yōu)勢顯著。這一變化與政企機(jī)構(gòu)遭受攻擊比例上升密切相關(guān)，因大量業(yè)務(wù)數(shù)據(jù)更多存儲于數(shù)據(jù)庫中，相關(guān)專業(yè)軟件也普遍依賴數(shù)據(jù)庫進(jìn)行數(shù)據(jù)調(diào)用與管理。

AI驅(qū)動攻防升級 360安全智能體賦能全域防護(hù)

基于對2025年勒索軟件傳播與演變態(tài)勢的深入分析，報告進(jìn)一步對其未來發(fā)展趨勢作出研判，并提出相應(yīng)的防御應(yīng)對策略。

一是AI正全面重塑勒索攻防格局，由輔助工具演變?yōu)楹诵囊妗９魝?cè)借助大模型與自動化技術(shù)，實(shí)現(xiàn)攻擊鏈智能定制與全流程自主滲透，使勒索軟件具備動態(tài)規(guī)避和精準(zhǔn)打擊能力；防御側(cè)則依托AI模型驅(qū)動威脅檢測、行為分析與自動化響應(yīng)，推動安全體系從規(guī)則依賴向智能研判升級。與此同時，AI大幅降低了高級安全能力的應(yīng)用門檻，助力各類企業(yè)應(yīng)對日趨智能化的勒索威脅，標(biāo)志著攻防對抗正式進(jìn)入以人工智能為核心驅(qū)動的新階段。

二是攻擊團(tuán)伙更加專業(yè)化、系統(tǒng)化，中小企業(yè)成為高頻目標(biāo)。攻擊團(tuán)伙運(yùn)作日益接近“準(zhǔn)紅隊(duì)”模式，其采用結(jié)構(gòu)化入侵戰(zhàn)術(shù)與模塊化工具鏈，RaaS模式趨于成熟，甚至引入KPI與分成機(jī)制，推動攻擊行動向產(chǎn)業(yè)化發(fā)展。同時，n-day漏洞武器化速度顯著加快，從公開到利用平均縮短至7天內(nèi)，使得補(bǔ)丁管理薄弱的中小企業(yè)成為主要受害者。面對專業(yè)攻擊與自身能力不足，越來越多的企業(yè)開始轉(zhuǎn)向安全托管服務(wù)(MSS)與SaaS化防護(hù)方案，推動安全能力外包成為主流應(yīng)對策略。

三是在與勒索軟件的持續(xù)對抗中，創(chuàng)新是打破攻防平衡、推動防御體系實(shí)現(xiàn)系統(tǒng)性跨越的核心動力。未來的勒索對抗，比拼的將是AI的部署速度和防御體系的韌性。廣大政企機(jī)構(gòu)不能再依賴單一的安全產(chǎn)品，而需要構(gòu)建一個以AI為核心、涵蓋終端、網(wǎng)絡(luò)、應(yīng)用和云環(huán)境的統(tǒng)一安全運(yùn)營體系。

作為數(shù)字安全的領(lǐng)導(dǎo)者，360數(shù)字安全集團(tuán)多年來一直致力于勒索病毒的防范。基于過去20年積累的安全大數(shù)據(jù)、實(shí)戰(zhàn)對抗經(jīng)驗(yàn)，以及全球頂級安全專家團(tuán)隊(duì)等優(yōu)勢能力，360創(chuàng)新構(gòu)建出依托安全大模型賦能的“安全智能體蜂群”體系。

該體系將安全專家能力和經(jīng)驗(yàn)進(jìn)行固化，集成終端防勒索、釣魚郵件檢測、終端病毒查殺等數(shù)十類垂直安全智能體。通過安全智能體的協(xié)同調(diào)度，該體系不僅可以完成自動化、毫秒級的威脅識別與處置，并能夠針對勒索病毒從攻擊前、攻擊中到攻擊后的每一個主要節(jié)點(diǎn)進(jìn)行定向查殺，助力廣大政企機(jī)構(gòu)構(gòu)建AI時代下面向勒索病毒的全生命周期防護(hù)能力。

讓病毒進(jìn)不來：在終端與流量側(cè)部署360安全探針，通過互聯(lián)網(wǎng)入口檢測等主動防御能力實(shí)時監(jiān)測威脅。一旦觸發(fā)病毒告警，終端安全智能體將自動獲取樣本，快速完成病毒家族鑒定，并聯(lián)動威脅情報進(jìn)行深度分析，最終實(shí)時同步威脅級別與處置結(jié)果，實(shí)現(xiàn)在病毒落地階段的精準(zhǔn)查殺與攔截；

讓病毒散不開：終端勒索防御智能體能夠?qū)账鞑《镜漠惓＜用苄袨楹蜋M向滲透攻擊行為，進(jìn)行智能化分析攔截和檢測阻斷，實(shí)現(xiàn)“一點(diǎn)發(fā)現(xiàn)，全網(wǎng)阻斷”；

讓病毒難加密：通過終端安全探針結(jié)合云端情報賦能，利用終端安全智能體的自動溯源分析能力，能夠精準(zhǔn)判斷勒索病毒身份，并進(jìn)行反向查殺；同時內(nèi)置文檔備份機(jī)制，可無感知備份日常辦公文檔和敏感業(yè)務(wù)數(shù)據(jù)，對備份區(qū)文件進(jìn)行全面保護(hù)，不允許第三方程序?qū)浞輩^(qū)進(jìn)行非授權(quán)操作，從而阻斷勒索病毒對備份區(qū)的加密行為；

加密后易恢復(fù)：內(nèi)置大量360獨(dú)家文檔解密工具及云端解密平臺，云端支持1000+類勒索文件解密、本地支持100+類勒索文件解密，并通過終端安全智能體實(shí)現(xiàn)加密后的全方位恢復(fù)工作。

目前，360安全智能體蜂群體系針對不同類別的勒索病毒，不同客戶體量與需求，推出了多元產(chǎn)品及服務(wù)套餐，已累計(jì)為超萬例勒索病毒救援求助提供幫助。

2025年中，360基于安全智能體蜂群體系賦能，共計(jì)捕獲勒索攻擊事件線索5858起，涉及受害單位1639家，確認(rèn)勒索病毒家族62個，攻擊IP來源地涉及境外52個國家或地區(qū)，輸出勒索攻擊事件線索674起，協(xié)助超2200名用戶解密文件486萬份，挽回?fù)p失逾4700萬元，持續(xù)助力政企機(jī)構(gòu)構(gòu)建縱深、全流程的勒索防護(hù)體系。