勒索软件传播至今，360反勒索服务已累计接收到数万例勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2026年1月，全球新增的双重勒索软件有BravoX、ClearWater、Vect、GreenBlood家族，传统勒索软件家族新增Milkyway、RahidsLocker、GrandMonty、PurpleCryptr等多个家族。

本月在国内持续热门的勒索家族Weaxor家族新增了一个分支变种，主流加密后缀变更为.xr，攻击方式依旧是利用Web漏洞发起攻击并通过注入系统进程轮询加载漏洞驱动，与安全软件做内核对抗。

本月出现了一个名为0APT的勒索软件组织，但实际上是一个诈骗团伙。该组织利用AI生成的虚假受害公司对外发布信息，并夹杂少量真实的受害公司，以制造看似真实的假象。目前该组织开始招募所谓的“黑帽黑客”，但其真实目的并不是组织勒索攻击，而是诈骗并窃取被招募者的比特币。 此案例佐证了一个长期存在的现实：网络诈骗攻击不只面向普通民众，同样广泛针对安全分析人员、黑产从业者、IT管理员等传统意义上的所谓的技术认知强的目标群体。

以下是本月值得关注的部分热点：

①　LockBit变种两度利用僵尸网络下发

②　MiddCrypto勒索软件利用国内全实名平台链路进行投毒

③　Nike在勒索团伙公布文件后调查数据泄露事件

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心（CCTGA勒索软件防范应对工作组成员）发布本报告。

安全软件占比分析

360反勒索服务已经存在十年以上，并长期致力于服务来自全网的勒索病毒攻击的响应、分析、处置、攻防、预警、解密工作。自2026年1月起，新增安全软件占比统计，主要用于评估当前复杂网络攻防态势下愈发严重的基线安全问题，为勒索相关的攻击事件提供接近真实维度的数据。

本月的勒索反馈中未装安全软件的占比达到70%，而未正常启用360安全软件的设备数量则占比12%，安装了其他安全软件的设备则占比18%。在溯源分析中发现，所有安装了360安全软件的反馈设备均未开启相关防护，尚未发现绕过360多维防御体系的勒索攻击。

图1. 2026年1月勒索软件中招设备中安装的安全软件占比

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比38.55%居首位，第二的是LockBit占比21.69%，Wmansvcs家族以16.47%占比位居第三。

图2. 2026年1月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows 11以及Windows Server 2012。

图3. 2026年1月勒索软件入侵操作系统占比

2026年1月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC大幅领先服务器，Nas平台攻击行为有所增加。

图4. 2026年1月勒索软件入侵操作系统类型占比

勒索软件热点事件

LockBit变种两度利用僵尸网络下发

360反勒索服务在1月5日与1月23日分别接到数十例LockBit家族变种感染的集中反馈，在一些社交媒体平台也会看到同期LockBit家族相关的受害案例。经360溯源分析确认相关LockBit变种是通过先前感染过的僵尸网络渠道进行的联网下发，感染设备均无360防护。受害者包括企业与个人用户，相关僵尸网络具备内网渗透能力，一经发现需全员杀毒加固。

图5. 360渗透痕迹记录功能发现并拦截僵尸网络感染行为

在1月23日LockBit变种版本的勒索赎金要求降低为300美元，相比1月5日那一批500美元的赎金降低了40%。根据前一批500美元赎金的受害者反馈，第三方赎金中介打着解密或数据恢复幌子收取的成交金额是3700人民币。预计本批次的第三方中介的赎金费用在2300左右。由于受害金额无法立案，进一步杜绝了受害者尝试报警的可能性。

图6. Lockbit勒索信息 

MiddCrypto勒索软件利用国内全实名平台链路进行勒索投毒

本月360率先独家解密了通过激活工具与破解软件进行钓鱼传播的MiddCrypto勒索软件，其利用备案网站、博客园、51cto、百度网盘等渠道进行传播，同时利用微信与支付宝进行勒索变现。此勒索软件在受害用户设备上会上传数据识别用户画像，进行特定后缀的加密以及支付赎金的云控调整。

360第一时间进行了勒索代码的分析与数据解密，并将分析与解密结论形成了分析报告，报告详细内容可参见如下链接：

https://news.safe.360.cn/n/12876.html

图7. MiddCrypto勒索软件感染流程示意图 

Nike在勒索团伙公布文件后调查数据泄露事件

Nike正在调查一起其所称的“潜在网络安全事件”。此前，勒索与数据敲诈组织World Leaks在其暗网泄露网站上发布信息，声称从这家运动服饰巨头窃取了约1.4TB数据、近19万份文件，内容涉及Nike的企业内部资料和业务运营信息。Nike在回应媒体时表示，公司一贯高度重视消费者隐私和数据安全，目前正对事件展开调查并评估影响，但尚未证实数据被盗或泄露的真实性。

值得注意的是，在相关报道发布前，World Leaks已将Nike从其泄露名单中移除。这一举动被外界解读为双方可能正在谈判，或Nike已支付赎金以换取数据下架。不过，Nike并未就此作出确认，媒体也无法独立验证所谓泄露文件是否真实有效。

World Leaks被认为是勒索软件组织Hunters International的“重塑版本”。Hunters International于2023年末出现，曾因代码相似性被怀疑与Hive勒索软件有关。该组织在2025年1月转向“仅数据窃取与敲诈”的攻击模式，放弃文件加密，原因是认为传统勒索攻击风险过高、收益下降。Hunters International曾声称对280多起攻击负责，受害者包括美国法警局、塔塔科技、日本豪雅（Hoya）、AutoCanada 以及美国海军承包商 Austal USA 等。

此外，自World Leaks活跃以来，其泄露网站已公布了全球数十家机构的数据。其关联人员还被指与戴尔某产品演示平台被入侵事件有关，并利用已停止支持的SonicWall SMA 100设备植入自定义OVERSTEP RootKit恶意软件。

黑客信息披露

本月收集到的黑客邮箱信息如下

表1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。

以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图8. 2026年1月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄漏风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有702个组织/企业遭遇双重勒索/多重勒索攻击，其中包含中国18个组织/企业在本月遭遇了双重勒索/多重勒索。其中有24个组织/企业未被标明，因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品，具有黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows 7、Windows 10以及Windows Server 2016。

图9. 2026年1月受攻击系统占比

对2026年1月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

图10. 2026年1月国内受攻击地区占比排名 

通过观察2026年1月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图11. 2026年1月监控到的RDP入侵量

图12. 2026年1月监控到的MS SQL入侵量 

图13. 2026年1月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

² rx：属于Weaxor勒索软件家族，该家族目前的主要传播方式为：利用各类软件漏洞进行投毒，通过powershell加载攻击载荷并注入系统进程，多轮加载不同的漏洞驱动与安全软件进行内核对抗。部分版本会通过暴力破解登录数据库，植入Anydesk远控进行手动投毒。

² wman：属于Wmansvcs家族，高度模仿phobos家族并使用Rust语言编译，目前仅在国内传播。该家族的主要传播方式为：通过暴力破解远程桌面口令，成功后手动投毒。

² nezha：属于Beast勒索软件家族，该家族的传播方式多样，具备暴力破解、漏洞利用、共享加密等多种攻击方式，同时具备跨平台加密能力。

² mtullo：新增勒索家族或变种，由于相关受害者均未配合进行溯源分析，故待后续有效反馈再进行研判。

² weax：同rx。

² lockbit：属于LockBit勒索软件家族，传播方式多样。包括广撒网与定向钓鱼、远程桌面或数据库暴破登录、漏洞利用、僵尸网络下发、远程凭据劫持等。

² revrac：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

² 1mwwillc4：同lockbit。

² qrxnm74sx：同lockbit。

² 888：属于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为：通过暴力破解远程桌面口令与数据库口令，成功后手动投毒。

图14. 2026年1月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看，解密量最大的是Phobos，其次是MiddCrypto。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

图15. 2026年1月解密大师解密文件数及设备数排名