2026年6月勒索软件流行态势分析
- 2026-07-06 19:32:23
勒索软件传播至今,360反勒索服务已累计接收到数万例勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄漏风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
2026年6月,全球新增的双重勒索软件有BlackX、Booba、Wallstreet、Settra、Redact家族,传统勒索软件家族新增GoodLock家族。
Sorry勒索病毒家族在本月持续活跃。主要利用Borland Socket Server组件身份验证漏洞,以及无文件攻击技术进行传播。360在原有反勒索防御体系基础上,新增了针对相关漏洞利用行为的拦截能力。
Weaxor家族本月持续活跃,其 rox、weax、xor 三个变种轮番出现。该家族利用中小企业常用软件的漏洞,对目标设备实施无差别、全天候攻击,360均已在第一时间完成捕获与查杀。
BrzCrypt家族于5月末首次出现,随后在6月迅速跻身国内传播量前列。360本月已捕获该家族多个.flex后缀的变种版本,目前该家族主要通过远程桌面登录方式进行传播。
以下是本月值得关注的部分热点:
① 360解密WannaHammer勒索软件
② 塔塔电子遭WorldLeaks勒索,泄露630GB零部件机密数据
③ Qilin勒索软件攻击美国、巴西等多国企业系统
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
安全软件占比分析
360反勒索服务已经存在十年以上,并长期致力于服务来自全网的勒索病毒攻击的响应、分析、处置、攻防、预警、解密工作。自2026年1月起,新增安全软件占比统计,主要用于评估当前复杂网络攻防态势下愈发严重的基线安全问题,为勒索相关的攻击事件提供接近真实维度的数据。
本月的勒索反馈中未安装安全软件的占比达到59.49%,而未正常启用360安全软件的设备数量则占比18.21%,安装了其他安全软件的设备则占比22.31%。在溯源分析中发现,所有安装了360安全软件的反馈设备均未开启相关防护,尚未发现绕过360多维防御体系的勒索攻击。
图1. 2026年6月勒索软件中招设备中安装的安全软件占比
感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计:Weaxor家族占比32.47%居首位,第二的是Sorry、占比17.75%;Wmansvcs家族以14.29%占比位居第三。
图2. 2026年6月勒索软件家族占比
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows 7。
图3. 2026年6月勒索软件入侵操作系统占比
2026年6月被感染的系统占比显示,受攻击的系统类型服务器与桌面PC基本相当,NAS平台攻击行为有所降低。
图4. 2026年6月勒索软件入侵操作系统类型占比
勒索软件热点事件
360解密WannaHammer勒索软件
360反病毒团队在本月接到多起用户反馈电脑文件被一款名叫WannaHammer 3.0的勒索程序加密,并播放低俗音频并要求添加作者QQ以获取解密支持。经分析,该样本在界面与交互上刻意模仿知名勒索软件风格,感染后对用户文件实施加密,并通过倒计时、勒索说明及循环播放的低俗音频施加恐吓与羞辱,诱导受害者输入所谓“解锁密码”,制造紧张氛围。
图5. WannaHammer勒索软件攻击流程示意图
综合样本行为与已知情报,该家族传播途径可能与被盗聊天账号有关——攻击者利用被盗QQ等即时通讯账号,向联系人投递恶意程序,以熟人关系降低防范心理,提高点击率与执行率。此类传播方式隐蔽性强、覆盖面广,且往往与账号弱口令、钓鱼链接或二次诈骗相伴发生。
360反病毒团队分析,发现WannaHammer勒索软件存在加密方案缺陷,并已自主开发出解密工具,可在不依赖样本程序、无需向攻击者支付资金或输入界面密码的情况下,对受影响文件进行批量恢复。
关于此勒索软件的详细分析报告参见:
https://www.360.cn/n/13032.html
塔塔电子遭WorldLeaks勒索,泄露630GB零部件机密数据
2026年6月23日财联社、界面新闻同步披露,印度电子制造巨头塔塔电子遭遇勒索软件组织WorldLeaks攻击,是近期供应链领域影响最大的勒索事件。WorldLeaks勒索软件家族采用纯数据窃取勒索模式,未对企业本地系统加密,仅依靠窃取商业机密施压赎金。攻击者在暗网泄露站点公示超过20万份被盗文件,总数据量达630GB,核心内容包含苹果、特斯拉两大头部车企、消费电子厂商的零部件图纸、产品规格、供应链报价、长期合作保密协议等。
塔塔电子官方发布声明称,数周前已发现入侵并启动应急响应,对外宣称生产、交付业务未受中断,但未披露是否与黑客开展赎金谈判。苹果公司已启动内部专项调查,核查泄露设计文件是否影响新品研发保密体系。安全分析师指出,WorldLeaks近年来持续瞄准全球制造业上下游供应商,利用供应链薄弱节点获取终端大厂核心资产,本次攻击暴露出电子代工厂对客户涉密资料的权限管控漏洞。行业预警显示,同类供应链勒索攻击将持续高发,企业需对第三方代工厂开展常态化渗透测试。
图6. 印度塔塔电子数据泄露图
Qilin勒索软件攻击美国、巴西等多国企业系统
2026年6月20日海外安全媒体披露,勒索软件家族Qilin在本周发起跨美洲协同攻击,先后入侵美国消费服务商MarketJoy、巴西食品生产企业Eat Salad,属于典型双重勒索攻击模式,既加密业务服务器,又提前窃取企业内部数据作为二次胁迫筹码。Qilin是2026年活跃度极高的勒索组织,此前依靠Check Point VPN零日漏洞批量入侵政企,本次转向消费、食品实体行业。
针对MarketJoy,攻击者加密客户服务、订单管理全后台,企业线上服务全线中断;针对巴西Eat Salad食品厂,入侵库存、物流调度系统,直接威胁区域食品供应链稳定。黑客在暗网公示两家企业内部财务、客户台账作为攻击凭证,设定7天赎金谈判期限,逾期将完整公开全部窃取数据。两家受害企业均未对外披露赎金金额,且暂停对外业务公示。安全机构研判,Qilin当前策略为分行业批量打击中小企业,利用实体企业无法长期停摆的痛点抬高赎金报价,拉美食品、北美线下服务行业成为该团伙重点狩猎目标,相关企业需紧急加固远程办公与VPN访问权限。
黑客信息披露
本月收集到的黑客邮箱信息如下

表1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄漏的风险也越来越大。
以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
图7. 2026年6月通过数据泄露获利的勒索软件家族占比
以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄漏准备,采取补救措施。
本月总共有716个组织/企业遭遇双重勒索/多重勒索攻击,其中包含中国31个组织/企业在本月遭遇了双重勒索/多重勒索。其中有19个组织/企业未被标明,因此不在以下表格中。











表2. 受害组织/企业
系统安全防护数据分析
在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。
图8. 2026年6月受攻击系统占比
对2026年6月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
图9. 2026年6月国内受攻击地区占比排名
通过观察2026年6月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击,整体无较大波动。
图10. 2026年6月监控到的RDP入侵量
图11. 2026年6月监控到的MS SQL入侵量
图12. 2026年6月监控到的MYSQL入侵量
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
² sorry
属于Sorry勒索软件家族,该家族善于利用各类漏洞发起勒索攻击,同时覆盖 Windows与Linux跨平台环境。
² rox
属于Weaxor勒索软件家族,该家族目前的主要传播方式为:利用各类软件漏洞进行投毒,通过powershell加载攻击载荷并注入系统进程,多轮加载不同的漏洞驱动与安全软件进行内核对抗。部分版本会通过暴力破解登录数据库,植入Anydesk远控进行手动投毒。
² weax (同rox)
² flex
属于BrzCrypt家族,目前仅在国内传播。该家族的主要传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。
² sorry (同sorry1)
² mallox
属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒、SQLGlobeImposter渠道、漏洞利用、僵尸网络进行传播。
² wman
属于Wmansvcs家族,目前仅在国内传播。该家族的主要传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。360反勒索团队已支持解密。
² baxia
属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令,成功后手动投毒。
² weaxor (同rox)
² piz
属于Pizhon家族,加密器包含自删除代码。攻击方式主要为远程桌面暴破登录或数据库暴破登录后,植入远控软件进行投毒。
图13. 2026年6月反病毒搜索引擎关键词搜索排名
解密大师
从解密大师本月解密数据看,解密量最大的是Phobos,其次是FreeFix。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。
图14. 2026年6月解密大师解密文件数及设备数排名
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器
京公网安备 11000002000006号