勒索软件传播至今,360反勒索服务已累计接收到数万次勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄漏风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2025年7月,全球新增的双重勒索软件有BaqiyatLock、Satanlockv2等多个新增家族。传统勒索软件家族新增Darkness、Walocker、Mino等家族。
其中Darkness在国内也有大量传播,并已经出现多个变种。Walocker与Mino勒索软件分别所属的攻击组织则利用了一组被命名为ToolShell的0day漏洞对微软SharePoint服务器实现了高效入侵,突显了勒索攻击组织在新漏洞利用上的积极态势。
2025年持续活跃的Weaxor勒索软件家族,其主流变种的加密后缀已更新为.roxaew。此家族在保持每天变更代码混淆过的攻击载荷与多驱动加载的基础上,与银狐木马家族同步新增了针对CVE-2024-51324漏洞驱动的利用行为,这表明,以金钱获利目标为主的黑产组织在选择对抗手段上呈现出趋同态势。
以下是本月值得关注的部分热点:
Phobos勒索软件终被破解,360国内率先支持
SafePay勒索软件攻击导致的Ingram Micro中断
俄罗斯职业篮球运动员因涉嫌参与勒索软件攻击而被捕
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
本月勒索软件受害者设备所中病毒家族进行统计:Weaxor家族占比50.70%居首位,第二的是Wmansvcs占比14.42%,Beast家族以7.91%位居第三。
图1. 2025年7月勒索软件家族占比
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。
图2. 2025年7月勒索软件入侵操作系统占比
2025年7月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC大幅领先服务器。
图3. 2025年7月勒索软件入侵操作系统类型占比
勒索软件热点事件
Phobos勒索软件终被破解,360国内率先支持
近日,国际执法机构公布了全球范围内广泛传播的Phobos及其变种8Base的解密信息。360反病毒团队第一时间对该勒索家族样本开展深入分析,并基于获取的14个RSA私钥,在国内率先实现了对该勒索家族的解密支持,同时开发工具对多个Phobos及8Base变种实现有效解密。目前,360解密大师是国内支持勒索软件解密最为全面的勒索解密工具。
如有被Phobos或8Base勒索家族加密数据的用户,欢迎联系360获取免费的解密协助。另外,对于以下一些不常见的扩展名文件,也可以联系我们尝试进行解密:
表1. 支持破解的Phobos/8Base勒索软件扩展名
SafePay勒索软件攻击导致的Ingram Micro中断
IT巨头,全球最大的C2C技术分销商和服务提供商之一——Ingram Micro,此前的系统中断是由SafePay勒索软件攻击引起的,该攻击导致其内部系统关闭。7月3日以来,Ingram Micro的网站和在线订购系统一直处于瘫痪状态,但该公司并未透露问题的原因。据了解,系统中断是由7月3日凌晨发生的网络攻击引起的,其内部员工发现他们的设备上出现了勒索信息文件。
从勒索信息文件内容看,本次攻击与SafePay勒索软件有关,但目前尚不清楚设备是否在攻击中被加密。应该注意的是,虽然勒索信息声称窃取了各种各样的信息,但这是所有SafePay勒索信息中使用的通用内容,并不代表本次针对Ingram Micro的攻击一定窃取到了这些信息。
据知情人士称,攻击者是通过其GlobalProtect VPN平台入侵了Ingram Micro。该公司在发现攻击后关闭了内部系统,并通知其员工不要使用公司的GlobalProtect VPN进行访问。目前,Ingram Micro已确认了攻击是来源于勒索攻击。
俄罗斯职业篮球运动员因涉嫌参与勒索软件攻击而被捕
俄罗斯职业篮球运动员Daniil Kasatkin应美国的要求在法国被捕,罪名是涉嫌充当勒索软件团伙的谈判代表。Daniil Kasatkin是一名俄罗斯篮球运动员,在2019年返回俄罗斯之前,他曾在宾夕法尼亚州立大学短暂打过NCAA篮球。在MBA-MAI的四个赛季中他在离开球队前出场了172场比赛。
据法国媒体报道,Kasatkin于6月21日与未婚妻一起抵达法国后,在巴黎戴高乐机场被捕。此次逮捕是美国国际逮捕令的一部分,因为他被指控为勒索软件团伙的谈判代表。
Kasatkin现在被拘留,而美国正在寻求引渡他并面临“共谋实施计算机欺诈”和“计算机欺诈共谋”的指控。他的律师声称,Kasatkin没有犯下这些罪行,这些问题与他购买的一台二手电脑有关。
虽然媒体并未披露勒索软件团伙的名称,但据报道,其在2020年至2022年期间参与了对900多家公司的攻击,其中包括两个联邦机构。此描述与臭名昭著的Conti勒索软件团伙非常相似,该团伙于2020年作为Ryuk的继任者出现,并在2022年因数据泄露而关闭。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
表2. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅包含未能第一时间缴纳赎金或拒缴纳赎金情况(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
图4. 2025年7月通过数据泄露获利的勒索软件家族占比
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄漏风险的企业或个人也请第一时间自查,做好数据已泄露的准备,采取补救措施。
本月总共有507个组织/企业遭遇双重勒索/多重勒索攻击,其中包含8个中国组织/企业在本月遭遇了双重勒索/多重勒索。其中有17个组织/企业未被标明,因此不在以下表格中。
表3. 受害组织/企业
系统安全防护数据分析
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。
图5 2025年7月受攻击系统占比
对2025年7月被攻击系统所属地域进行统计,并与之前几个月采集到的数据进行对比发现,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
图6. 2025年7月国内受攻击地区占比排名
通过观察2025年7月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
图7. 2025年7月监控到的RDP入侵量
图8. 2025年7月监控到的MS SQL入侵量
图9. 2025年7月监控到的MYSQL入侵量
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
²roxaew:属于Weaxor勒索软件家族,该家族目前的主要传播方式为:利用各类软件漏洞利用方式进行投毒,通过powershell加载攻击载荷并与安全软件进行内核对抗。
²wxx:同roxaew。
²peng:属于Wmansvcs家族,高度模仿phobos家族并使用Rust语言编译,目前仅在国内传播。该家族的主要传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。
²baxia:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令,成功后手动投毒。
²bruk:属于Beast勒索软件家族,该家族支持多个操作系统平台传播。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令,成功后手动投毒。
²bixi:同baxia。
²mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播,后来增加了漏洞利用的传播方式。此外360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。
²888:属于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为:通过暴力破解远程桌面口令与数据库口令,成功后手动投毒。
²weaxor:同roxaew。
²wstop: RNTC勒索软件家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒,同时通过smb共享方式加密其他设备。
图10 2025年7月反病毒搜索引擎关键词搜索排名
解密大师
从解密大师本月解密数据看,解密量最大的是CrandCrabV5其次是FreeFix。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。
图11. 2025年7月解密大师解密文件数及设备数排名
