2026年1月勒索软件流行态势分析

2026-02-04 19:49:41
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万例勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2026年1月，全球新增的双重勒索软件有BravoX、ClearWater、Vect、GreenBlood家族，传统勒索软件家族新增Milkyway、RahidsLocker、GrandMonty、PurpleCryptr等多个家族。

本月在国内持续热门的勒索家族Weaxor家族新增了一个分支变种，主流加密后缀变更为.xr，攻击方式依旧是利用Web漏洞发起攻击并通过注入系统进程轮询加载漏洞驱动，与安全软件做内核对抗。

本月出现了一个名为0APT的勒索软件组织，但实际上是一个诈骗团伙。该组织利用AI生成的虚假受害公司对外发布信息，并夹杂少量真实的受害公司，以制造看似真实的假象。目前该组织开始招募所谓的“黑帽黑客”，但其真实目的并不是组织勒索攻击，而是诈骗并窃取被招募者的比特币。此案例佐证了一个长期存在的现实：网络诈骗攻击不只面向普通民众，同样广泛针对安全分析人员、黑产从业者、IT管理员等传统意义上的所谓的技术认知强的目标群体。

以下是本月值得关注的部分热点：

①　LockBit变种两度利用僵尸网络下发

②　MiddCrypto勒索软件利用国内全实名平台链路进行投毒

③　Nike在勒索团伙公布文件后调查数据泄露事件

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心（CCTGA勒索软件防范应对工作组成员）发布本报告。

安全软件占比分析

360反勒索服务已经存在十年以上，并长期致力于服务来自全网的勒索病毒攻击的响应、分析、处置、攻防、预警、解密工作。自2026年1月起，新增安全软件占比统计，主要用于评估当前复杂网络攻防态势下愈发严重的基线安全问题，为勒索相关的攻击事件提供接近真实维度的数据。

本月的勒索反馈中未装安全软件的占比达到70%，而未正常启用360安全软件的设备数量则占比12%，安装了其他安全软件的设备则占比18%。在溯源分析中发现，所有安装了360安全软件的反馈设备均未开启相关防护，尚未发现绕过360多维防御体系的勒索攻击。

图1. 2026年1月勒索软件中招设备中安装的安全软件占比

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比38.55%居首位，第二的是LockBit占比21.69%，Wmansvcs家族以16.47%占比位居第三。

图2. 2026年1月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows 11以及Windows Server 2012。

图3. 2026年1月勒索软件入侵操作系统占比

2026年1月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC大幅领先服务器，Nas平台攻击行为有所增加。

图4. 2026年1月勒索软件入侵操作系统类型占比

勒索软件热点事件

LockBit变种两度利用僵尸网络下发

360反勒索服务在1月5日与1月23日分别接到数十例LockBit家族变种感染的集中反馈，在一些社交媒体平台也会看到同期LockBit家族相关的受害案例。经360溯源分析确认相关LockBit变种是通过先前感染过的僵尸网络渠道进行的联网下发，感染设备均无360防护。受害者包括企业与个人用户，相关僵尸网络具备内网渗透能力，一经发现需全员杀毒加固。

图5. 360渗透痕迹记录功能发现并拦截僵尸网络感染行为

在1月23日LockBit变种版本的勒索赎金要求降低为300美元，相比1月5日那一批500美元的赎金降低了40%。根据前一批500美元赎金的受害者反馈，第三方赎金中介打着解密或数据恢复幌子收取的成交金额是3700人民币。预计本批次的第三方中介的赎金费用在2300左右。由于受害金额无法立案，进一步杜绝了受害者尝试报警的可能性。

图6. Lockbit勒索信息

MiddCrypto勒索软件利用国内全实名平台链路进行勒索投毒

本月360率先独家解密了通过激活工具与破解软件进行钓鱼传播的MiddCrypto勒索软件，其利用备案网站、博客园、51cto、百度网盘等渠道进行传播，同时利用微信与支付宝进行勒索变现。此勒索软件在受害用户设备上会上传数据识别用户画像，进行特定后缀的加密以及支付赎金的云控调整。

360第一时间进行了勒索代码的分析与数据解密，并将分析与解密结论形成了分析报告，报告详细内容可参见如下链接：

https://news.safe.360.cn/n/12876.html

图7. MiddCrypto勒索软件感染流程示意图

Nike在勒索团伙公布文件后调查数据泄露事件

Nike正在调查一起其所称的“潜在网络安全事件”。此前，勒索与数据敲诈组织World Leaks在其暗网泄露网站上发布信息，声称从这家运动服饰巨头窃取了约1.4TB数据、近19万份文件，内容涉及Nike的企业内部资料和业务运营信息。Nike在回应媒体时表示，公司一贯高度重视消费者隐私和数据安全，目前正对事件展开调查并评估影响，但尚未证实数据被盗或泄露的真实性。

值得注意的是，在相关报道发布前，World Leaks已将Nike从其泄露名单中移除。这一举动被外界解读为双方可能正在谈判，或Nike已支付赎金以换取数据下架。不过，Nike并未就此作出确认，媒体也无法独立验证所谓泄露文件是否真实有效。

World Leaks被认为是勒索软件组织Hunters International的“重塑版本”。Hunters International于2023年末出现，曾因代码相似性被怀疑与Hive勒索软件有关。该组织在2025年1月转向“仅数据窃取与敲诈”的攻击模式，放弃文件加密，原因是认为传统勒索攻击风险过高、收益下降。Hunters International曾声称对280多起攻击负责，受害者包括美国法警局、塔塔科技、日本豪雅（Hoya）、AutoCanada 以及美国海军承包商 Austal USA 等。

此外，自World Leaks活跃以来，其泄露网站已公布了全球数十家机构的数据。其关联人员还被指与戴尔某产品演示平台被入侵事件有关，并利用已停止支持的SonicWall SMA 100设备植入自定义OVERSTEP RootKit恶意软件。

黑客信息披露

本月收集到的黑客邮箱信息如下