中文版 Global
首页 > 安全资讯 > 正文

2025年12月勒索软件流行态势分析

  • 2026-01-07 10:48:57

勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2025年12月,全球新增的双重勒索软件MintEyeMS13-089SicariOsirisDark Shinigamis家族,传统勒索软件家族新增MiddCryptoMarabu等多个家族。

其中MiddCrypto家族通过钓鱼方式进行传播,通过植入付费软件的注册机程序进行传播。该勒索软件采用.NET进行编写,加入了大量混淆与环境检测试图绕过安全软件识别。在经过其云控的复杂条件筛选与用户画像识别后进行加密,加密后会从云端下载二维码引导受害者支付解密赎金。360反勒索团队在接到用户反馈后第一时间进行了分析并提供了解密方案。Marabu家族则是一个使用Rust语言编写并同时大量使用了AI辅助进行代码生成的勒索家族,该家族主要攻击Linux平台。

本月国内热门的Top1家族Weaxor家族进行了一次变种,主流加密后缀变更为.rx,攻击方式依旧是利用Web漏洞发起攻击并通过注入系统进程轮询加载漏洞驱动与安全软件做内核对抗。

以下是本月值得关注的部分热点:

LockBit5.0强势回归

新型DroidLock可锁定安卓设备并索要赎金

PornHub因黑客窃取高级会员活动数据而被勒索

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心CCTGA勒索软件防范应对工作组成员)发布本报告

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:Weaxor家族占比32.65%居首位,第二的Wmansvcs占比24.49%Beast家族以10.2%位居第三。

 

图1. 2025年12月勒索软件家族占比

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2016

 

图2. 2025年12月勒索软件入侵操作系统占比

2025年12月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型服务器与桌面PC完全持平。

 

图3. 2025年12月勒索软件入侵操作系统类型占比

勒索软件热点事件

LockBit5.0强势回归

12月初,LockBit5.0版本发布页面正式回归。在此期间360已捕获了该版本的大量在野样本。仅在短短一周内LockBit5.0就发布了41个受害者的勒索信息,其中涉及2中资企业。其实LockBit家族长期以来并未因境外监管机构取缔而消亡,其自身与衍生家族在国内常年传播,并攻击了大量中小企业与个人用户。本次针对大型企业暗网勒索发布页的强势回归,需引起广大企事业单位重视。

 

图4. LockBit5.0暗网主页

早在今年9月份,LockBit5新版招募合作伙伴期间就曾经预告过新版将增加更多攻击形式。在本轮攻击中360反勒索服务也第一时间证实了新的攻击形式:即采用多轮人工参与的电诈模式,由此前的广撒网式钓鱼升级为定向钓鱼攻击。

此前各国公开的权威安全报告中(官方机构 / 安全厂商 / CERT通报),很少有明确披露真实具体的LockBit定向钓鱼(spear-phishing)案例细节——比如具体受害者、邮件内容、攻击邮件链路等。官方大部分说明是基于技术分析与ATT&CK术语层面的合理推断或可能性,而非公开“某某公司被 LockBit 通过定向钓鱼攻陷”的具体、可核查的实例。

 

图5. LockBit勒索软件利用定向钓鱼方式入侵系统

新型DroidLock可锁定安卓设备并索要赎金

DroidLock 是一种新发现的 Android 恶意软件,专门针对西班牙语用户。该恶意软件通过恶意网站分发,伪装成合法应用程序,诱使用户安装。安装后,DroidLock 能够完全控制受感染设备,锁定屏幕并要求支付赎金,还能访问设备中的短信、通话记录、联系人、音频记录,甚至删除数据。攻击者通过 VNC 分享系统实现远程控制,并能窃取设备的锁屏图案。

DroidLock 的感染过程始于一个被称为 "dropper(引导程序)的恶意应用。这个应用伪装成正常软件,诱使用户安装,并加载实际的恶意负载。一旦恶意软件安装成功,它会通过应用更新请求,将主恶意代码传送到设备上。此时,恶意软件会请求设备的管理员权限和辅助服务权限,以便执行各种欺诈性操作。

DroidLock 通过在受感染设备上显示覆盖层,显示勒索信息,要求受害者支付赎金,否则会威胁永久删除文件。与传统的勒索软件不同,DroidLock 不加密文件,而是通过威胁删除文件来达到勒索目的。攻击者还可以通过修改锁屏密码,进一步限制用户访问设备。此外,DroidLock 还支持多达 15 个恶意命令,包括发送通知、启用相机、恢复出厂设置、安装卸载应用等。

DroidLock 的另一个显著特性是窃取锁屏图案。当用户在恶意覆盖界面上绘制锁屏图案时,图案会直接发送给攻击者,允许其远程控制设备。攻击者可以通过 VNC 远程访问设备,进行进一步的恶意操作。

PornHub因黑客窃取高级会员活动数据而被勒索

成人视频平台PornHub近日披露,其部分Premium会员的搜索和观看历史数据被用于勒索,幕后团伙为知名数据勒索组织ShinyHunters。事件源于第三方数据分析服务商Mixpanel在2025年12月8日遭遇一次短信钓鱼攻击,攻击者借此入侵其系统并窃取客户数据。PornHub表示,受影响的仅为少量Premium用户,且并非PornHub自身系统被攻破,用户的密码、支付及财务信息并未泄露;相关数据主要是2021年或更早的历史分析数据。

ShinyHunters向PornHub发出勒索邮件,声称窃取了94GB、约2.01亿条记录,内容涵盖Premium用户的邮箱地址、活动类型、地理位置、视频URL、视频名称、关键词及具体时间戳,包括观看、下载、频道浏览及搜索历史等高度敏感行为数据。

Mixpanel则回应称,无法确认这些数据来自2025年12月的安全事件,并表示相关数据最后一次访问来自 PornHub 母公司的一名合法员工账户(2023年)。

这是首次公开确认ShinyHunters是Mixpanel事件背后的攻击者。该团伙2025年还涉及多起重大数据泄露,并关联Oracle E-Business Suite的0day漏洞及多起Salesforce相关攻击。同时,ShinyHunters正在打造新的RaaS平台“ShinySpid3r”,进一步扩大其网络犯罪活动。

黑客信息披露

以下是本月收集到的黑客邮箱信息:

表1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

 

图6. 2025年12月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄漏风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有808个组织/企业遭遇双重勒索/多重勒索攻击,其中包含中国7个组织/企业在本月遭遇了双重勒索/多重勒索。其中有21个组织/企业未被标明,因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品,具有黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008Windows 7以及Windows 10

 

图7. 2025年12月受攻击系统占比

2025年12月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

 

图8. 2025年12月国内受攻击地区占比排名

通过观察2025年12月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

 

图9. 2025年12月监控到的RDP入侵量

 

图10. 2025年12月监控到的MS SQL入侵量

 

图11. 2025年12月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

²weax:属于Weaxor勒索软件家族,该家族目前的主要传播方式为:利用各类软件漏洞利用方式进行投毒,通过powershell加载攻击载荷并注入系统进程多轮加载不同的漏洞驱动与安全软件进行内核对抗。部分版本会通过暴力破解登录数据库后植入Anydesk远控进行手动投毒。

²wman:属于Wmansvcs家族,高度模仿phobos家族并使用Rust语言编译,目前仅在国内传播。该家族的主要传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。

²wstop:属于RNTC勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒,同时通过smb共享方式加密其他设备。

²rx:weax。

²mallox:属于TargetCompany(Mallox勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播,后来增加了漏洞利用的传播方式。此外360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。

²taps:属于Paradise勒索软件家族,该家族目前的主要传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

²revrac:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

²mkprevrac

²datahelper@cyberfear.comweax。

²baxia:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

 

图12. 2025年12月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看,解密量最大的是Phobos其次是FreeFix。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

 

图13. 2025年12月解密大师解密文件数及设备数排名

360安全卫士

热点排行

用户
反馈 返回
顶部