勒索软件流行态势分析 2025年7月 三六零数字安全科技集团|高级威胁研究分析中心360数字安全——数字安全的领导者 第1页勒索软件传播至今，360反勒索服务已累计接收到数万次勒索软件感染求助。随着 新型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到近亿美元 的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来 越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户 提供360反勒索服务。 2025年7月，全球新增的双重勒索软件有BaqiyatLock、Satanlockv2等多个新增 家族。传统勒索软件家族新增Darkness、Walocker、Mino等家族。 其中Darkness在国内也有大量传播，并已经出现多个变种。Walocker与Mino勒索 软件分别所属的攻击组织则利用了一组被命名为ToolShell的0day漏洞对微软 SharePoint服务器实现了高效入侵，突显了勒索攻击组织在新漏洞利用上的积极态势。 2025年持续活跃的Weaxor勒索软件家族，其主流变种的加密后缀已更新为.roxaew。 此家族在保持每天变更代码混淆过的攻击载荷与多驱动加载的基础上，与银狐木马家族 同步新增了针对CVE-2024-51324漏洞驱动的利用行为，这表明，以金钱获利目标为主 的黑产组织在选择对抗手段上呈现出趋同态势。 以下是本月值得关注的部分热点： Phobos勒索软件终被破解，360国内率先支持 SafePay勒索软件攻击导致的IngramMicro中断 俄罗斯职业篮球运动员因涉嫌参与勒索软件攻击而被捕 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心 （CCTGA勒索软件防范应对工作组成员）发布本报告。360数字安全——数字安全的领导者 第2页感染数据分析 本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比50.70%居首位， 第二的是Wmansvcs占比14.42%，Beast家族以7.91%位居第三。 图1.2025年7月勒索软件家族占比 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows Server2008以及WindowsServer2012。 图2.2025年7月勒索软件入侵操作系统占比360数字安全——数字安全的领导者 第3页2025年7月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌 面PC大幅领先服务器。 图3.2025年7月勒索软件入侵操作系统类型占比360数字安全——数字安全的领导者 第4页勒索软件热点事件 Phobos勒索软件终被破解，360国内率先支持 近日，国际执法机构公布了全球范围内广泛传播的Phobos及其变种8Base的解密 信息。360反病毒团队第一时间对该勒索家族样本开展深入分析，并基于获取的14个 RSA私钥，在国内率先实现了对该勒索家族的解密支持，同时开发工具对多个Phobos 及8Base变种实现有效解密。目前，360解密大师是国内支持勒索软件解密最为全面的 勒索解密工具。 如有被Phobos或8Base勒索家族加密数据的用户，欢迎联系360获取免费的解密 协助。另外，对于以下一些不常见的扩展名文件，也可以联系我们尝试进行解密： .2QZ3 .blackrock .dewar .GHOST .NURRI .6y8dghklp .bqux .DIKE .grt .OOH .actin .Caleb .duck .G-STARS .OWN .Acton .Cales .ebaka .GUCCI .phobos .actor .Caley .eight .jook .phoenix .Acuff .calix .eject .KARLOS .PLUT .Acuna .Calle .eking .karma .s1g2n3a4l .acute .Calum .Elbie .kmrox .SHTORM .adage .Calvo .elbow .LIZARD .STEEL .Adair .CAPITAL .elder .LOGAN .unique 表1.支持破解的Phobos/8Base勒索软件扩展名 SafePay勒索软件攻击导致的IngramMicro中断 IT巨头，全球最大的C2C技术分销商和服务提供商之一——IngramMicro，此前的 系统中断是由SafePay勒索软件攻击引起的，该攻击导致其内部系统关闭。7月3日以 来，IngramMicro的网站和在线订购系统一直处于瘫痪状态，但该公司并未透露问题的 原因。据了解，系统中断是由7月3日凌晨发生的网络攻击引起的，其内部员工发现他 们的设备上出现了勒索信息文件。 从勒索信息文件内容看，本次攻击与SafePay勒索软件有关，但目前尚不清楚设备360数字安全——数字安全的领导者 第5页是否在攻击中被加密。应该注意的是，虽然勒索信息声称窃取了各种各样的信息，但这 是所有SafePay勒索信息中使用的通用内容，并不代表本次针对IngramMicro的攻击 一定窃取到了这些信息。 据知情人士称，攻击者是通过其GlobalProtectVPN平台入侵了IngramMicro。该 公司在发现攻击后关闭了内部系统，并通知其员工不要使用公司的GlobalProtectVPN 进行访问。目前，IngramMicro已确认了攻击是来源于勒索攻击。 俄罗斯职业篮球运动员因涉嫌参与勒索软件攻击而被捕 俄罗斯职业篮球运动员DaniilKasatkin应美国的要求在法国被捕，罪名是涉嫌充 当勒索软件团伙的谈判代表。DaniilKasatkin是一名俄罗斯篮球运动员，在2019年返 回俄罗斯之前，他曾在宾夕法尼亚州立大学短暂打过NCAA篮球。在MBA-MAI的四个赛 季中他在离开球队前出场了172场比赛。 据法国媒体报道，Kasatkin于6月21日与未婚妻一起抵达法国后，在巴黎戴高乐 机场被捕。此次逮捕是美国国际逮捕令的一部分，因为他被指控为勒索软件团伙的谈判 代表。 Kasatkin现在被拘留，而美国正在寻求引渡他并面临“共谋实施计算机欺诈”和“计 算机欺诈共谋”的指控。他的律师声称，Kasatkin没有犯下这些罪行，这些问题与他购 买的一台二手电脑有关。 虽然媒体并未披露勒索软件团伙的名称，但据报道，其在2020年至2022年期间参 与了对900多家公司的攻击，其中包括两个联邦机构。此描述与臭名昭著的Conti勒索 软件团伙非常相似，该团伙于2020年作为Ryuk的继任者出现，并在2022年因数据泄 露而关闭。360数字安全——数字安全的领导者 第6页黑客信息披露 以下是本月收集到的黑客邮箱信息： [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] killback [email protected] [email protected] [email protected] [email protected] [email protected] bashred-reAdmE.txt [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] 表2.黑客邮箱 当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带 来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比， 该数据仅包含未能第一时间缴纳赎金或拒缴纳赎金情况（已经支付赎金的企业或个人， 可能不会出现在这个清单中）。 图4.2025年7月通过数据泄露获利的勒索软件家族占比360数字安全——数字安全的领导者 第7页以