勒索軟(ruan)件傳播至(zhi)今(jin)，360反(fan)勒(le)(le)索(suo)(suo)服務已累計接收(shou)到數(shu)萬(wan)次勒(le)(le)索(suo)(suo)軟(ruan)件(jian)感染求助。隨(sui)著新型(xing)勒(le)(le)索(suo)(suo)軟(ruan)件(jian)的(de)快速蔓延，企業數(shu)據泄漏風險不斷上升(sheng)，勒(le)(le)索(suo)(suo)金額在數(shu)百萬(wan)到上億美元的(de)勒(le)(le)索(suo)(suo)案件(jian)不斷出現。勒(le)(le)索(suo)(suo)軟(ruan)件(jian)給企業和(he)個人帶來(lai)的(de)影響范圍(wei)越來(lai)越廣，危害也(ye)越來(lai)越大。360全(quan)(quan)網安(an)全(quan)(quan)大腦針(zhen)對(dui)勒(le)(le)索(suo)(suo)軟(ruan)件(jian)進(jin)行了全(quan)(quan)方位監測與(yu)防(fang)御(yu)，為需要(yao)幫助的(de)用戶提供360反(fan)勒(le)(le)索(suo)(suo)服務。

2025年5月，全球新(xin)增的雙重(zhong)勒索軟件有J、Datacarry、Worldleaks等(deng)多個新增家(jia)族。傳(chuan)統勒索軟件家(jia)族新增Bert、Kalxat家(jia)族。

本(ben)月360反勒索服務團(tuan)隊接到數(shu)起關于Kalxat勒索(suo)軟(ruan)件攻擊的反(fan)饋(kui)。經(jing)分析發現，這(zhe)種新型勒索(suo)軟(ruan)件擁有(you)非(fei)常高效(xiao)的文(wen)件加(jia)密機制，并可以多級動(dong)態調整(zheng)加(jia)密策略(lve)，具(ju)備大量配(pei)置與擴展(zhan)屬性，屬于新一代(dai)的先進(jin)勒索(suo)軟(ruan)件。根(gen)據受害者反(fan)饋(kui)，Kalxat會在系(xi)統中(zhong)悄然加(jia)密各(ge)類(lei)文(wen)件，并將(jiang)其擴展(zhan)名修改為“.kalxat”，同時留(liu)下勒索信息，要求支(zhi)付贖金以獲取解(jie)密(mi)工具。

在入(ru)侵傳播方面，Kalxat則表現(xian)出了明(ming)顯的定向攻(gong)(gong)擊(ji)(ji)特征(zheng)。該(gai)勒索軟件(jian)主要針對(dui)(dui)Windows服務器發起攻(gong)(gong)擊(ji)(ji)。其加密(mi)策略(lve)也是(shi)針對(dui)(dui)服務器上的關鍵(jian)數據(ju)——如數據(ju)庫文件(jian)，進行完整的全量(liang)加密(mi)。而(er)對(dui)(dui)于其他非關鍵(jian)文件(jian)，其采用部(bu)分加密(mi)策略(lve)，以(yi)加快整體加密(mi)速度。此外，該(gai)勒索軟件(jian)還會執(zhi)行一(yi)系列系統(tong)操(cao)作，包(bao)括大量(liang)修改注(zhu)冊(ce)表項(xiang)、禁用Windows Defender、清除系統(tong)事件(jian)日志和(he)安全日志等，以(yi)規(gui)避安全檢測并確保(bao)攻(gong)(gong)擊(ji)(ji)成(cheng)功。

Kalxat采用了高(gao)度(du)模塊(kuai)化設計(ji)：勒索信內容、加(jia)密文(wen)件擴展(zhan)名、RSA公鑰等關鍵參(can)數，均通過獨立的(de)配置文(wen)件進行配置。這也使(shi)攻擊者(zhe)可(ke)以(yi)輕松地為不(bu)同(tong)目標定制(zhi)不(bu)同(tong)版本進行攻擊，同(tong)時也增(zeng)加(jia)了安全研究人員的(de)分析難度(du)。這種設計(ji)使(shi)得Kalxat具(ju)有較強的(de)變種生(sheng)成能力(li)，各個攻擊實例可(ke)能展(zhan)現(xian)出不(bu)同(tong)的(de)行為特征(zheng)，并且采用了雙重RSA架構。這些(xie)操(cao)作表明，Kalxat是一款(kuan)精心設計(ji)的(de)、針對企業服務器環境的(de)高(gao)級(ji)勒索軟件。

以(yi)下是(shi)本月值得關注的(de)部分熱點：

VanHelsing勒索(suo)軟(ruan)件(jian)生成(cheng)器在黑客論(lun)壇上(shang)泄(xie)露

員工監控(kong)軟件Kickidler在勒(le)索攻擊中被利用(yong)

勒(le)索(suo)軟件(jian)團伙越(yue)來越(yue)多地利用Skitnet投放(fang)惡意軟(ruan)件

基(ji)于對360反勒(le)(le)索服務數(shu)(shu)據的分(fen)析研判，360數(shu)(shu)字安全(quan)集團(tuan)高級威(wei)脅研究分(fen)析中心(CCTGA勒(le)(le)索軟件(jian)防范應對(dui)工作組成員）發布(bu)本報告(gao)。

感(gan)染數(shu)據(ju)分析(xi)

針對本月(yue)勒索軟件受害者設備所中(zhong)病毒家族進(jin)行統(tong)計(ji)：Weaxor家族占比28.27%居首位，第(di)二(er)的(de)是(shi)RNTC占比16.23%，BeijingCrypt家(jia)族以(yi)10.47%占比(bi)位(wei)居第三(san)。

?

圖1. 2025年5月勒索軟件家族占比(bi)

對本月受害者所(suo)使用(yong)的操作系統(tong)進行統(tong)計，位居前三(san)的是(shi)：Windows 10、Windows Server 2012以及Windows 11。

?

圖2. 2025年5月勒(le)索軟(ruan)件(jian)入侵操作(zuo)系統占比

2025年5月被感染的系(xi)(xi)統(tong)(tong)中桌(zhuo)面系(xi)(xi)統(tong)(tong)和服(fu)務器系(xi)(xi)統(tong)(tong)占比(bi)顯示，受(shou)攻擊(ji)的系(xi)(xi)統(tong)(tong)類型桌(zhuo)面PC大幅領先(xian)服務器。

?

圖(tu)3. 2025年5月勒索軟(ruan)件入侵操作系統類型占比

勒索軟(ruan)(ruan)件(jian)熱點(dian)事件(jian)

VanHelsing勒(le)索軟(ruan)件生成器在黑(hei)客論壇上泄(xie)露

2025年(nian)5月20日，一個別名為(wei)“th30c0der”的(de)用戶在RAMP論(lun)壇上提出以(yi)10,000美元的(de)價(jia)格出售VanHelsing的(de)源代碼，并公布(bu)了(le)對(dui)“TOR 密(mi)鑰+管理員的(de)Web面板+聊(liao)天(tian)+文件服務器+博客包(bao)括數據庫所有內(nei)容(rong)”的(de)全(quan)面訪問權限(xian)。該賣(mai)家還詳(xiang)細介紹了(le)勒(le)索軟件的(de)多(duo)平(ping)臺(tai)功能，聲稱可以(yi)針對(dui)Windows、Linux、NAS系統以(yi)及2.0到8.0版的(de)ESXi環(huan)境(jing)進行(xing)勒(le)索。

作為回應(ying)，VanHelsing官方運(yun)營商發布了部分源代碼(ma)，聲(sheng)稱(cheng)th30c0der是“開發團隊的老成員(yuan)，他(ta)試圖(tu)通過(guo)出(chu)售舊(jiu)代碼(ma)來欺騙人們”。

泄露(lu)代碼的真實性已被驗證，其中包括Windows加(jia)密程(cheng)序和(he)管理工具的(de)組件。此事(shi)件加(jia)入了(le)越來越多的(de)勒(le)索軟件源代碼泄(xie)露清單(dan)，這些泄(xie)漏有可能擴大網絡(luo)攻(gong)擊影響。

而有安全研究人員表示，泄露(lu)的(de)存(cun)檔包含真(zhen)實但雜亂(luan)無(wu)章的(de)代(dai)碼(ma)，Visual Studio項目文(wen)(wen)件(jian)錯誤地放(fang)置在(zai)通常(chang)為(wei)編譯后(hou)的(de)(de)二進(jin)制(zhi)文(wen)(wen)件(jian)保留的(de)(de)“Release”文(wen)(wen)件(jian)夾中。其Windows加密程序(xu)構(gou)建器連接到IP地址(zhi)為(wei)31.222.238的(de)(de)附屬面板。208用于(yu)構(gou)建數(shu)據，從而為(wei)潛在(zai)用戶造成(cheng)技術障礙。

代碼中的另一個重要發現，揭示了Van Helsing為有效負(fu)載分配(pei)生成臨(lin)時路徑(jing)的能力。這顯示了惡(e)意軟件(jian)如(ru)何(he)使(shi)用PsExec設置(zhi)橫向移動功(gong)能。

員(yuan)工監(jian)控軟件Kickidler在勒索攻擊(ji)中被(bei)利(li)用

勒索軟件(jian)正在使用(yong)合法(fa)的Kickidler員工監控軟(ruan)件進行偵察，跟(gen)蹤受害者的(de)活動，并在破壞(huai)其網絡后收集憑據。

近期，有網絡安全公(gong)司發現Qilin和Hunters International勒索(suo)軟(ruan)件(jian)下(xia)(xia)屬組織安裝(zhuang)了(le)Kickidler，這(zhe)(zhe)是一(yi)種員(yuan)工監控工具，可(ke)以捕獲擊鍵、截取屏幕截圖并創建屏幕視頻。攻(gong)擊始于攻(gong)擊者在(zai)用戶搜索(suo)RVTools時投放了(le)Google廣(guang)告。受害(hai)者一(yi)旦點擊了(le)此類廣(guang)告，便會訪(fang)問一(yi)個虛假(jia)的RVTools網站，最(zui)終下(xia)(xia)載一(yi)個偽裝(zhuang)成正常程序(xu)的釣魚木馬程序(xu)。受害(hai)者下(xia)(xia)載的這(zhe)(zhe)個惡(e)意軟(ruan)件(jian)加載程序(xu)，可(ke)下(xia)(xia)載并運行SMOKEDHAM PowerShell的.NET后(hou)門，最(zui)終在(zai)受害(hai)設備上部署Kickidler。

此(ci)類攻(gong)(gong)擊(ji)針對的是企業管理員，他們的賬戶通常會在被入侵后(hou)，為攻(gong)(gong)擊(ji)者提供特權憑證，安全(quan)人員分析認為攻(gong)(gong)擊(ji)者可能已(yi)經保(bao)持了對受害者系統的訪(fang)問(wen)權限數(shu)天(tian)甚至數(shu)周(zhou)，以收集(ji)訪(fang)問(wen)異地(di)云備份所需的憑證而不被發現。此(ci)外，安全(quan)人員還(huan)發現Hunters International使(shi)用(yong)的部署腳(jiao)本利用(yong)了(le)VMware PowerCLI和WinSCP Automation來啟用(yong)系統中的SSH服務，便于部署勒(le)索(suo)軟(ruan)件并在ESXi服務器上執行(xing)。

雖然員(yuan)工監控軟件(jian)不是(shi)勒索軟件(jian)團伙(huo)的(de)首(shou)選工具，但他們多年來一直濫用合(he)法的(de)遠程監控和管理軟件(jian)。最近，有人發現攻擊(ji)者以易受攻擊(ji)的(de)SimpleHelp RMM客(ke)戶(hu)端(duan)為(wei)目標，創建管(guan)理員賬(zhang)戶(hu)、安裝后(hou)門，并可能為(wei)Akira勒索軟件(jian)攻(gong)擊鋪路。

勒索(suo)軟件團伙越來越多地利用Skitnet投(tou)放惡意軟(ruan)件

一(yi)些勒(le)索(suo)軟件攻擊者正在使用(yong)一(yi)款名為Skitnet的惡意軟(ruan)件作為(wei)工具(ju)來竊取敏(min)感數(shu)據，并建立對(dui)受(shou)感染主機的遠(yuan)程控制(zhi)。

據安全公(gong)司(si)分析，Skitnet也稱(cheng)為Bossnet，是一(yi)種多(duo)階段惡(e)意(yi)(yi)軟件。該(gai)惡(e)意(yi)(yi)工具的(de)一(yi)個(ge)值得注(zhu)意(yi)(yi)的(de)方面是它使用Rust和Nim等編程語(yu)言，通過DNS啟動(dong)反彈shell并逃避檢測(ce)。它還(huan)包含持久性機制、遠程訪問(wen)工具、數(shu)據泄露命令(ling)，甚至可下載(zai)用于提供額外有效負載(zai)的(de).NET載(zai)荷程序，這讓其(qi)成(cheng)為一(yi)種多(duo)功能惡(e)意(yi)(yi)工具。

Skitnet于2024年4月19日首次發布，并作(zuo)為由服務器組(zu)件和惡意軟(ruan)件組(zu)成的(de)(de)“捆(kun)綁包(bao)”提(ti)供給潛在客戶。該基于Nim的(de)(de)二進(jin)制文件進(jin)一步啟動多(duo)個(ge)線(xian)程，每10秒發送一次DNS請求，讀取(qu)DNS響應并提(ti)取(qu)要在主機上執(zhi)行的(de)(de)命令，最終(zhong)將(jiang)命令執(zhi)行的(de)(de)結果傳回服務器。這些命令通過(guo)用于管理受感染主機的(de)(de)C2面板發出。

下面列出了一些受(shou)支持的PowerShell命令：

lStartup：通過在受害者設備的 Startup 目錄中創建快捷方式來(lai)確保持久性

lScreen：用于捕獲受害(hai)者(zhe)桌面的(de)屏幕截圖

lAnydesk/Rutserv：部署合法的遠程桌面(mian)軟件，如(ru)AnyDesk或Remote Utilities（“rutserv.exe”）

lShell:用于運行遠程服(fu)務器上托管的PowerShell腳(jiao)本并將結果發(fa)送回 C2 服(fu)務器

lAV:用于收集已安裝的安全產品的列表

早在2025年2月(yue)，便有(you)分析人員發現該工具一直處于活躍狀(zhuang)態。它包含三個組件，一個下載器、一個后(hou)門(men)和一個用于后(hou)門(men)的(de)專(zhuan)用加載程(cheng)序(xu)，使(shi)攻擊(ji)者能(neng)夠在受感(gan)染的(de)系(xi)統中(zhong)，部署包括勒索軟(ruan)件在內的(de)各類惡(e)意程(cheng)序(xu)。本(ben)輪(lun)攻擊(ji)中(zhong)比較(jiao)典型的(de)勒索軟(ruan)件包括BlackBasta和Cactus等。

黑(hei)客(ke)信息披露

以(yi)下(xia)是本月收集(ji)到的(de)黑(hei)客郵箱信息：

表1. 黑(hei)(hei)客郵箱

當前，通過(guo)雙重勒索(suo)或多重勒索(suo)模式(shi)獲利的(de)(de)勒索(suo)軟件(jian)家(jia)族越來(lai)越多，勒索(suo)軟件(jian)所帶來(lai)的(de)(de)數據泄(xie)露的(de)(de)風險也(ye)越來(lai)越大。以下是本月通過(guo)數據泄(xie)露獲利的(de)(de)勒索(suo)軟件(jian)家(jia)族占比，該數據僅(jin)包含(han)未(wei)能第一時間繳(jiao)納贖金或拒繳(jiao)納贖金的(de)(de)企業(ye)或個人(ren)情況(kuang)（已經支付贖金的(de)(de)企業(ye)或個人(ren)，可能不會出現(xian)在(zai)這(zhe)個清(qing)單(dan)中）。

?

圖4. 2025年(nian)5月(yue)通(tong)過數據泄(xie)露(lu)獲(huo)利(li)的勒索軟(ruan)件家族(zu)占比

以下是本月被(bei)雙重勒索軟件家族攻擊(ji)的(de)企業或(huo)個人(ren)。若未發現(xian)數據存在泄(xie)漏(lou)風險的(de)企業或(huo)個人(ren)也請第一時間自查(cha)，做(zuo)好數據已被(bei)泄(xie)露(lu)準備(bei)，采取補救措(cuo)施。

本月總共有561個(ge)組織(zhi)/企業遭(zao)遇勒(le)索攻(gong)擊(ji)，其中(zhong)包含中(zhong)國(guo)11個組(zu)織/企(qi)業(ye)在本月遭遇了雙重(zhong)勒索/多重(zhong)勒索。其中有4個(ge)組織/企業未(wei)被標明，因此不在(zai)以下(xia)表格中。

表(biao)2. 受(shou)害組織/企業

系統安全防護數據分析

360系統安全產品，目前(qian)已加入黑(hei)客入侵防護(hu)功能。在本月被攻擊的系統版本中，排行前(qian)三的依(yi)次為(wei)Windows Server?2008、Windows 7以(yi)及Windows 10。

?

圖5?2025年5月受攻(gong)擊(ji)系統占(zhan)比(bi)

對2025年5月(yue)被攻擊(ji)系統所屬地域(yu)統計(ji)發(fa)現，與之前幾個月(yue)采集(ji)到的數(shu)(shu)據(ju)進行對(dui)比，地區排名和占比變(bian)化均不大。數(shu)(shu)字經(jing)濟(ji)發(fa)達地區仍(reng)是被攻擊(ji)的主(zhu)要對(dui)象。

?

圖6. 2025年(nian)5月國(guo)內受(shou)攻擊地區占比排(pai)名

通過觀察(cha)2025年5月(yue)弱口令攻擊態(tai)勢發現，RDP弱口(kou)令攻(gong)擊(ji)、MYSQL弱口(kou)令攻(gong)擊(ji)和(he)MSSQL弱口(kou)令攻(gong)擊(ji)整體無(wu)較大波動。

?

圖7. 2025年5月監(jian)控到的RDP入侵(qin)量

?

圖8. 2025年5月監控到的(de)MS SQL入(ru)侵量

?

圖9. 2025年5月監(jian)控到的MYSQL入侵量

勒索(suo)軟件(jian)關(guan)鍵(jian)詞

以(yi)下是本月上榜活(huo)躍勒索軟件(jian)關(guan)鍵(jian)詞統計，數據來自360勒索軟件搜索引擎(qing)。

2wxx：屬于Weaxor勒索軟(ruan)件家族，該家族目(mu)前(qian)的主要(yao)傳播方(fang)式為：利用各類軟(ruan)件漏洞進行(xing)投毒(du)，以(yi)及通過暴(bao)力破(po)解遠程桌面口令，成(cheng)功后手動(dong)投毒(du)。

2wstop： RNTC勒索軟(ruan)件家族(zu)，該家族(zu)的(de)主要傳播方(fang)式為：通過暴力(li)破解遠程(cheng)桌面(mian)口(kou)令，成功后手動投毒(du)，同時通過smb共享方(fang)式加密其他設備。

2bixi：屬于BeijngCrypt勒索軟(ruan)件(jian)家(jia)族，由于被加密文件(jian)后(hou)綴會被修改為(wei)beijing而成為(wei)關鍵詞。該(gai)家(jia)族主要的傳播方式為(wei)：通過暴力破解遠程桌(zhuo)面口令(ling)與(yu)數據(ju)庫弱(ruo)口令(ling)，成功后(hou)手(shou)動(dong)投毒。

2kalxat：屬于Kalxat勒索軟件家(jia)族(zu)(zu)，由于被加(jia)密文件后(hou)(hou)綴(zhui)會被修(xiu)改為kalxat而成為關鍵詞。該家(jia)族(zu)(zu)主要的傳(chuan)播方式為：通過暴力(li)破(po)解(jie)或注入數據庫，成功后(hou)(hou)手動投毒。

2mkp: 屬于Makop勒索軟件家族(zu)，由于被加密(mi)文件后綴會被修改為(wei)(wei)mkp而成為(wei)(wei)關鍵詞。該家族(zu)主要的(de)傳播方式為(wei)(wei)：通過暴力(li)破解遠程桌面口令，成功后手(shou)動投毒。

2baxia：同bixi。

2mallox：屬于TargetCompany(Mallox)勒索(suo)軟(ruan)件家族，由于被(bei)加(jia)密文件后綴會被(bei)修(xiu)改為mallox而成為關(guan)鍵(jian)詞。主要通(tong)過暴力破解(jie)遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道(dao)進(jin)行傳(chuan)播，后來增加(jia)了漏(lou)洞利用的傳(chuan)播方式。此外，360安全大腦監控到(dao)該家族曾通過匿影僵尸網絡(luo)進行傳播(bo)。

2weax：同wxx。

2sstop：同wstop。

2rw2：屬于LockBit家族，以泄露的(de)LockBit構(gou)建器代碼創建。該(gai)家族的(de)主要(yao)傳播(bo)方式為：通過(guo)暴力(li)破解遠程(cheng)桌面口令與數據(ju)庫口令，成功后手動(dong)投(tou)毒(du)。

?

圖10?2025年5月反病毒搜索引(yin)擎關鍵詞搜索排名

解密大師

從解(jie)密大(da)師本月(yue)解(jie)密數據看，解(jie)密量最大(da)的是(shi)FreeFix其次是Crysis。使用解密(mi)(mi)大師解密(mi)(mi)文件的用戶數(shu)量最高的是被Crysis家族(zu)加密的設備(bei)。

?

圖11. 2025年(nian)5月(yue)解密(mi)大(da)師解密(mi)文件數及(ji)設備數排名