360年度勒索軟件流行態勢報告發布：AI成未來勒索對抗決勝因素

分享到微信

近日，360數字安全集團以2025年全年勒索軟件事件監測、分析與處置數據為基石，融合國內外一線安全態勢數據、權威研究報告及國際熱點事件情報，經綜合研判梳理后，權威發布《2025年勒索軟件流行態勢報告》(以下簡稱“報告”)。該報告基于對勒索軟件傳播特征、演變規律與發展趨勢的深度剖析，系統性解構了其背后生態鏈的演進邏輯，旨在助力政企機構構建覆蓋“監測預警、應急響應、長效防護”的體系化防御能力，為數字安全建設提供有力的實踐指引與策略支撐。

勒索態勢整體平穩 加密技術轉向性能競逐

報告顯示，2025年我國勒索軟件傳播態勢總體延續了2024年以來的相對平穩狀態，雖不斷涌現新的勒索家族且傳統團伙攻擊仍頻繁，對個人、企業與政府機構持續形成威脅，但未出現單一勒索軟件在短期內引發大規模爆發的情況。這一方面得益于安全廠商技術能力的持續提升與協同應對，另一方面也源于各類用戶安全意識的普遍增強。

在過去一年中，360在自研安全智能體蜂群的支撐下，累計處理勒索攻擊求助超2179例，識別新勒索家族84個，其中多重勒索家族約占半數；新增支持8款勒索病毒解密，其中7款為全球獨家解密，共保護近216萬臺設備免遭入侵，攔截各類弱口令入侵共計超過12億次。

從勒索軟件家族分布來看，PC端仍以Weaxor、LockBit與Wmansvcs三大老牌家族及其變種為主。Weaxor憑借Web漏洞利用等手段占據傳播榜首，并在攻擊中結合漏洞驅動進行內核對抗以提升成功率；Wmansvcs則承接了Phobos的傳播模式，主要在國內通過遠程桌面弱口令爆破傳播；LockBit在年底以5.0版本回歸，并引入第三方黑產團伙協作，進一步擴大了其威脅生態。

此外，報告指出，當前主流勒索家族普遍采用對稱加密處理大規模文件數據，并以非對稱或橢圓曲線算法保護密鑰，構成兼顧強度與效率的多級加密方案，演化重點正從方案設計轉向執行效率優化，以提升加密速度并降低暴露風險。

從傳播方式看，勒索軟件的傳播手段依然是以遠程桌面和漏洞利用兩種為主，僅這兩種傳播途徑就占到了總量的近八成。其中，遠程桌面入侵目前仍是導致勒索感染的主要途徑，但其優勢正在縮小，漏洞利用的比例已與之十分接近。遠程桌面攻擊持續高發，主要因為該手段已形成成熟的入侵工具鏈，加之大量中小企業和日益增多的家庭用戶在公網上開放相關端口且缺乏有效防護。

與此同時，漏洞利用攻擊主要集中在Web應用及各類管理系統的安全弱點上，已成為當前勒索傳播中增長迅速且危害突出的重要渠道。

雙重勒索已成主流 攻擊生態趨于聯盟協作

數據作為企業核心資產，其泄露不僅造成經濟損失，更影響聲譽、合規與業務連續性。在此背景下，當前勒索攻擊模式不斷演變，已從單純加密數據演變為多重脅迫的復雜策略。

報告顯示，2025年參與雙重/多重勒索的活躍勒索軟件家族達到122個，較2024年增長近三成。其中，頭部Top10家族仍占據主導地位，但更多新興家族占比顯著提升，呈現出明顯的長尾分布態勢。

與去年相比，2025年數據泄露事件高度集中于服務業與制造業，其次為建筑、醫療與金融業。這一變化源于勒索攻擊日益聚焦于設備規模大、數據價值高的中大型企業。此外，教育、能源等行業亦位列前十，凸顯相關領域亟需加強勒索防護。目前已公開的被勒索企業中，美國企業以超過半數的占比位居榜首，我國亦有企業上榜，占比約1.46%。

360安全智能體監測顯示，2025年全年共有40個新增勒索軟件家族開始采用雙重/多重勒索模式，表明該模式正持續擴散。與此同時，勒索贖金整體呈現回落趨勢，已從去年動輒千萬美元的普遍水平降至百萬美元量級。即便針對大型企業的攻擊，如BlackCat對美國環球健康服務公司的勒索，金額也控制在2200萬美元，反映出贖金定價趨于理性。

同時，報告總結指出，2025年勒索軟件的演化呈現以下規律：生態協作而非代碼本身成為家族維系的關鍵；品牌、團伙與開發者間的界限日益模糊；攻擊主戰場正向云環境、ESXi及SaaS服務轉移。未來，勒索生態或將更多以“聯盟”形式出現，而非獨立的家族運作。

勒索目標聚焦政企 加密威脅瞄準數據庫

360統計發現，2025年勒索軟件攻擊的地域分布保持穩定，仍集中在數字經濟發達及人口密集地區。廣東、北京、浙江位列受影響程度前三，這說明發達區域持續面臨更高威脅。

制造業、互聯網及軟件服務業以及服務業位列受害行業前三，醫療等敏感行業亦在其中。這些領域普遍具有信息化程度高、數據資產價值大、支付意愿強的特點，因此面臨更大的暴露面和更高的勒索風險，成為攻擊者持續聚焦的目標。

受攻擊系統分布上，Windows 10、Windows Server 2012與2008位列前三。其中Windows 10占比雖仍居首，但較2024年明顯回落，主要受其進入生命周期末期及攻擊向政企服務器傾斜的影響。

從操作系統類型的角度看，桌面PC整體占比亦隨之下降至55.31%，而針對Linux及NAS系統的攻擊則保持穩定但占比較低。這一變化反映出勒索攻擊正持續轉向服務器及政企目標，相關機構需進一步提升安全防護。

較去年相比，數據庫與辦公文檔仍是受害方最主要的兩類被加密數據，但二者的排序發生對調：數據庫現居首位，且領先優勢顯著。這一變化與政企機構遭受攻擊比例上升密切相關，因大量業務數據更多存儲于數據庫中，相關專業軟件也普遍依賴數據庫進行數據調用與管理。

AI驅動攻防升級 360安全智能體賦能全域防護

基于對2025年勒索軟件傳播與演變態勢的深入分析，報告進一步對其未來發展趨勢作出研判，并提出相應的防御應對策略。

一是AI正全面重塑勒索攻防格局，由輔助工具演變為核心引擎。攻擊側借助大模型與自動化技術，實現攻擊鏈智能定制與全流程自主滲透，使勒索軟件具備動態規避和精準打擊能力；防御側則依托AI模型驅動威脅檢測、行為分析與自動化響應，推動安全體系從規則依賴向智能研判升級。與此同時，AI大幅降低了高級安全能力的應用門檻，助力各類企業應對日趨智能化的勒索威脅，標志著攻防對抗正式進入以人工智能為核心驅動的新階段。

二是攻擊團伙更加專業化、系統化，中小企業成為高頻目標。攻擊團伙運作日益接近“準紅隊”模式，其采用結構化入侵戰術與模塊化工具鏈，RaaS模式趨于成熟，甚至引入KPI與分成機制，推動攻擊行動向產業化發展。同時，n-day漏洞武器化速度顯著加快，從公開到利用平均縮短至7天內，使得補丁管理薄弱的中小企業成為主要受害者。面對專業攻擊與自身能力不足，越來越多的企業開始轉向安全托管服務(MSS)與SaaS化防護方案，推動安全能力外包成為主流應對策略。

三是在與勒索軟件的持續對抗中，創新是打破攻防平衡、推動防御體系實現系統性跨越的核心動力。未來的勒索對抗，比拼的將是AI的部署速度和防御體系的韌性。廣大政企機構不能再依賴單一的安全產品，而需要構建一個以AI為核心、涵蓋終端、網絡、應用和云環境的統一安全運營體系。

作為數字安全的領導者，360數字安全集團多年來一直致力于勒索病毒的防范。基于過去20年積累的安全大數據、實戰對抗經驗，以及全球頂級安全專家團隊等優勢能力，360創新構建出依托安全大模型賦能的“安全智能體蜂群”體系。

該體系將安全專家能力和經驗進行固化，集成終端防勒索、釣魚郵件檢測、終端病毒查殺等數十類垂直安全智能體。通過安全智能體的協同調度，該體系不僅可以完成自動化、毫秒級的威脅識別與處置，并能夠針對勒索病毒從攻擊前、攻擊中到攻擊后的每一個主要節點進行定向查殺，助力廣大政企機構構建AI時代下面向勒索病毒的全生命周期防護能力。

讓病毒進不來：在終端與流量側部署360安全探針，通過互聯網入口檢測等主動防御能力實時監測威脅。一旦觸發病毒告警，終端安全智能體將自動獲取樣本，快速完成病毒家族鑒定，并聯動威脅情報進行深度分析，最終實時同步威脅級別與處置結果，實現在病毒落地階段的精準查殺與攔截；

讓病毒散不開：終端勒索防御智能體能夠對勒索病毒的異常加密行為和橫向滲透攻擊行為，進行智能化分析攔截和檢測阻斷，實現“一點發現，全網阻斷”；

讓病毒難加密：通過終端安全探針結合云端情報賦能，利用終端安全智能體的自動溯源分析能力，能夠精準判斷勒索病毒身份，并進行反向查殺；同時內置文檔備份機制，可無感知備份日常辦公文檔和敏感業務數據，對備份區文件進行全面保護，不允許第三方程序對備份區進行非授權操作，從而阻斷勒索病毒對備份區的加密行為；

加密后易恢復：內置大量360獨家文檔解密工具及云端解密平臺，云端支持1000+類勒索文件解密、本地支持100+類勒索文件解密，并通過終端安全智能體實現加密后的全方位恢復工作。

目前，360安全智能體蜂群體系針對不同類別的勒索病毒，不同客戶體量與需求，推出了多元產品及服務套餐，已累計為超萬例勒索病毒救援求助提供幫助。

2025年中，360基于安全智能體蜂群體系賦能，共計捕獲勒索攻擊事件線索5858起，涉及受害單位1639家，確認勒索病毒家族62個，攻擊IP來源地涉及境外52個國家或地區，輸出勒索攻擊事件線索674起，協助超2200名用戶解密文件486萬份，挽回損失逾4700萬元，持續助力政企機構構建縱深、全流程的勒索防護體系。