勒(le)(le)索(suo)軟件傳播至(zhi)今，360反(fan)(fan)勒(le)(le)索(suo)服(fu)務已累計收到數萬(wan)次勒(le)(le)索(suo)軟件感染求助。隨著新型勒(le)(le)索(suo)軟件的(de)快速蔓延，企(qi)業數據泄(xie)漏風(feng)險不斷(duan)上升，勒(le)(le)索(suo)金額在數百萬(wan)到近億美元的(de)勒(le)(le)索(suo)案件不斷(duan)出現，勒(le)(le)索(suo)軟件對(dui)企(qi)業和(he)個(ge)人的(de)影響和(he)危(wei)害也越(yue)來越(yue)大(da)。360全(quan)網(wang)安全(quan)大(da)腦針(zhen)對(dui)勒(le)(le)索(suo)軟件進行了全(quan)方位的(de)監測與防御，為需要幫助的(de)用(yong)戶提供(gong)360反(fan)(fan)勒(le)(le)索(suo)服(fu)務。

2025年6月，全球新(xin)增(zeng)的(de)雙重勒索軟件有WarLock、Kawa4096、TeamXXX等多個家(jia)族，傳統勒索軟件新(xin)增(zeng)UraLocker、SafeLocker等家(jia)族。

本月360反勒索服務團隊(dui)接到大量Weaxor勒索家(jia)族(zu)(zu)的反饋，經技(ji)術人員(yuan)分析排(pai)查發現該家(jia)族(zu)(zu)勒索軟(ruan)件主要是利用企業OA系統漏洞進入到內部網絡的。我(wo)們也(ye)針對性的發布了相關分析報(bao)告和解決方案(an)。

以(yi)下是本月值(zhi)得關(guan)注(zhu)的部分(fen)熱點：

Anubis勒索軟件(jian)添加(jia)了(le)擦除(chu)器(qi)來阻止文件(jian)恢復

Krispy Kreme表示(shi)，去年(nian)11月的數據(ju)泄露(lu)影響了超過16萬人(ren)

邁凱(kai)倫醫保表示，數據(ju)泄露(lu)影響了74.3萬(wan)名(ming)患者

基于對360反勒索服務數據的(de)分析(xi)研(yan)(yan)判，360數字安全(quan)集團高(gao)級威脅研(yan)(yan)究分析(xi)中(zhong)心(xin)(CCTGA勒索軟件防范應對工(gong)作組成(cheng)員）發布本報告。

感染數(shu)據分析

針(zhen)對本月勒索軟件受(shou)害者設備所中病毒家族進行(xing)統計(ji)：Weaxor家族占(zhan)比(bi)52.24%居首位(wei)，第(di)二的(de)是RNTC、占(zhan)比(bi)11.94%，BeijingCrypt家族以7.46%的(de)占(zhan)比(bi)位(wei)居第(di)三。

圖1. 2025年6月勒索(suo)軟件家族占比

對本(ben)月受害者所使用的操(cao)作(zuo)系統(tong)進行統(tong)計，位居(ju)前三的是：Windows 10、Windows Server 2008以及Windows 7。

圖2. 2025年6月(yue)勒(le)索軟(ruan)件入侵(qin)操作系統占比

2025年6月被感染(ran)的操作(zuo)系統(tong)(tong)占比(bi)顯示，受攻擊(ji)的系統(tong)(tong)類型中，桌(zhuo)面PC系統(tong)(tong)大(da)幅領(ling)先服務器系統(tong)(tong)。

圖3. 2025年6月勒(le)索軟(ruan)件入侵(qin)操作系統(tong)類型占(zhan)比

勒索(suo)軟(ruan)件熱點事(shi)件

Anubis勒索軟件添加了擦除(chu)器來(lai)阻止文件恢復

近期(qi)，我們發現Anubis勒索軟(ruan)件在文件加(jia)密工具中，添(tian)加(jia)了一個擦除器模塊(kuai)。該(gai)模塊(kuai)會銷毀目(mu)(mu)標文件，即(ji)使支付了贖金也無法(fa)恢復。目(mu)(mu)前(qian)，Anubis在暗網上的勒索頁面只列出了8名受害者(zhe)。

6月13日，一份安全(quan)研究(jiu)機構(gou)的報告顯示(shi)，Anubis團伙在(zai)代(dai)碼(ma)中添加了一些新(xin)功(gong)能，其(qi)中也包含(han)了文件(jian)擦(ca)除(chu)功(gong)能。研究(jiu)人(ren)員通過分析最新(xin)Anubis樣本，發(fa)現了擦(ca)除(chu)器(qi)功(gong)能，認為該功(gong)能是為了讓受害(hai)者(zhe)(zhe)在(zai)壓力之下付款。其(qi)代(dai)碼(ma)會識(shi)別命(ming)令行(xing)參數“/WIPEMODE”激活破(po)壞性行(xing)為，該參數需要(yao)發(fa)出基于密鑰的身份驗證。激活后，擦(ca)除(chu)器(qi)會擦(ca)除(chu)所有(you)文件(jian)內容(rong)，將(jiang)其(qi)大小減小到0KB，同時保(bao)持文件(jian)名和(he)結構(gou)不變。受害(hai)者(zhe)(zhe)仍能看到預期(qi)目錄中的所有(you)文件(jian)，但(dan)其(qi)內容(rong)已銷毀且無法恢復。

相關機構的分(fen)析顯示，Anubis在啟動時支持多個(ge)命令(ling)，包括(kuo)用于(yu)權限提升(sheng)、目(mu)錄排(pai)(pai)除(chu)和(he)目(mu)標路徑(jing)加(jia)(jia)密的命令(ling)。默(mo)認(ren)情況下(xia)，重要的system和(he)program目(mu)錄被(bei)排(pai)(pai)除(chu)在外，以避免導致系(xi)統完全不(bu)可用。勒(le)索軟件還會刪(shan)除(chu)卷(juan)影副本，并終止可能干擾加(jia)(jia)密過程(cheng)的進程(cheng)和(he)服務(wu)。

該勒索(suo)軟件(jian)加密代碼使用了ECIES算法，并(bing)在加密文件(jian)后附加“.anubis”擴展名。完成加密后，在加密目錄中放置了HTML贖金記錄，并(bing)且(qie)嘗試(shi)更(geng)改桌面壁(bi)紙。

Krispy Kreme表示(shi)，去年11月的數(shu)據泄露影響了超過16萬人

美(mei)國甜(tian)甜(tian)圈連鎖店Krispy Kreme證實(shi)，攻(gong)擊(ji)者在2024年11月的(de)一次網絡(luo)攻(gong)擊(ji)中(zhong)，竊(qie)取(qu)了超過16萬人(ren)的(de)個人(ren)信(xin)息。

Krispy Kreme透露，在今年6月(yue)下旬(xun)提交緬因(yin)州(zhou)總檢(jian)察長辦公室的(de)(de)一份文件(jian)中(zhong)，其在去(qu)年11月(yue)遭(zao)遇的(de)(de)數(shu)(shu)據(ju)泄露已影響(xiang)161676人。雖(sui)然該(gai)公司沒有透露事件(jian)中(zhong)暴(bao)露了哪些數(shu)(shu)據(ju)，但(dan)提交馬薩諸(zhu)塞州(zhou)總檢(jian)察長的(de)(de)另一份文件(jian)顯示，被盜文件(jian)包含受影響(xiang)個人的(de)(de)社(she)會安(an)全號碼、金融(rong)賬戶信(xin)息(xi)和駕駛執照信(xin)息(xi)。

Krispy Kreme于2024年11月(yue)29日(ri)在(zai)其IT系(xi)統上(shang)檢(jian)測到未經授權的活動，并(bing)在(zai)12月(yue)11日(ri)提交美國證券交易委員會的文件中，披(pi)露了該事(shi)件及其在(zai)線訂(ding)購中斷的情況。該公(gong)司(si)還采取措施遏制(zhi)漏洞，并(bing)聘(pin)請(qing)了外(wai)部網絡安(an)全專家(jia)來評估(gu)攻(gong)擊(ji)對(dui)其運營的全面影響。

雖然Krispy Kreme始終尚(shang)未公布有關11月數據泄露事件的更多細節，但(dan)Play勒(le)索軟(ruan)件團伙在去年12月下旬聲稱對(dui)此次攻擊(ji)負責(ze)，稱他們還(huan)從該(gai)公司網(wang)絡中竊取了數據。

Play勒索軟件聲稱，其竊(qie)取到的文(wen)件包含：

l? 個人機(ji)密(mi)數據

l? 客戶(hu)文件

l? 預算(suan)

l? 工(gong)資單

l? 會計賬(zhang)單

l? 合(he)同(tong)

l? 稅務繳納(na)ID

l? 財務信息

最(zui)終，Play勒索軟件團伙在與該公司(si)談判(pan)失敗后，于12月(yue)21日在其暗網泄露網站上(shang)發布了(le)多個檔案，其中包含(han)數百GB文件。

邁凱倫醫保表(biao)示(shi)數據泄露影響了74.3萬名患者

邁(mai)凱倫醫保組(zu)織警告74.3萬名患者，2024年(nian)7月(yue)發(fa)生(sheng)的INC勒索軟件攻擊(ji)，導致其衛(wei)生(sheng)系統發(fa)生(sheng)數(shu)據泄露。雖然攻擊(ji)是(shi)在(zai)2024年(nian)8月(yue)5日被發(fa)現(xian)的，但確定攻擊(ji)影響(xiang)的司法調查直到2025年(nian)5月(yue)5日才完成，相關(guan)通知直到6月(yue)20日才發(fa)布。

2024年8月初，邁(mai)凱(kai)倫(lun)(lun)醫(yi)(yi)保組(zu)織遭遇IT和(he)電話系統中斷，促使其進行(xing)調查。據(ju)(ju)報道(dao)，患者數據(ju)(ju)庫受到影響，人們在訪問邁(mai)凱(kai)倫(lun)(lun)醫(yi)(yi)院(yuan)時，被要求攜帶有(you)關(guan)預約(yue)和(he)藥物的(de)信(xin)(xin)息(xi)。盡(jin)管該組(zu)織沒有(you)具體說(shuo)明攻(gong)擊者情(qing)況，但邁(mai)凱(kai)倫(lun)(lun)位于密歇根州(zhou)貝城的(de)一(yi)家醫(yi)(yi)院(yuan)的(de)一(yi)名員工在網(wang)上(shang)發(fa)布了INC的(de)勒(le)索(suo)信(xin)(xin)息(xi)，這些(xie)勒(le)索(suo)信(xin)(xin)息(xi)會通過醫(yi)(yi)院(yuan)的(de)打印機自動打印。

在發送給受影(ying)響個人(ren)的通知中(zhong)，邁凱倫(lun)醫保組織(zhi)承認(ren)該(gai)事件涉及勒索軟(ruan)件攻擊，但仍未提及INC。本次調查確認(ren)，攻擊者在2024年7月17日至(zhi)2024年8月3日期(qi)間，擁(yong)有邁凱倫(lun)和Karmanos系統的訪問權限。

在提交(jiao)給美國當局的(de)(de)邁凱(kai)倫數(shu)據(ju)(ju)泄露樣本中確認患者姓名信息已泄露，并(bing)增加了其他已泄露的(de)(de)數(shu)據(ju)(ju)類型(xing)。因(yin)此，數(shu)據(ju)(ju)泄露的(de)(de)整體情況(kuang)仍(reng)不清楚。

黑客信(xin)息披露

以下是本月收集到的黑客郵箱信息(xi)：

表1. 黑客郵(you)箱

當前，通(tong)過雙重勒索(suo)(suo)(suo)(suo)或多重勒索(suo)(suo)(suo)(suo)模式獲利的(de)勒索(suo)(suo)(suo)(suo)軟件家族(zu)越(yue)來越(yue)多，勒索(suo)(suo)(suo)(suo)軟件也讓數據(ju)(ju)泄露(lu)風險越(yue)來越(yue)大(da)。以下(xia)是本月通(tong)過數據(ju)(ju)泄露(lu)獲利的(de)勒索(suo)(suo)(suo)(suo)軟件家族(zu)占比，該數據(ju)(ju)僅包含(han)未第一時間繳納贖(shu)金或拒(ju)繳納贖(shu)金的(de)部分企(qi)業或個人(ren)（已經支付(fu)贖(shu)金的(de)企(qi)業或個人(ren)，可能不會出現在這個清單中(zhong)）。

圖4. 2025年6月通過(guo)數據(ju)泄露獲(huo)利的(de)勒索軟件家族(zu)占比(bi)

以下是本月被雙(shuang)重(zhong)勒索(suo)軟件家族(zu)攻擊的企業或個人(ren)。若未(wei)發(fa)現數據存在泄漏風險的企業或個人(ren)，也請第(di)一時間(jian)自查，做(zuo)好數據已泄露(lu)的準備(bei)，采取補(bu)救措施。

本月總(zong)共有478個組織(zhi)(zhi)/企(qi)業遭(zao)遇雙重(zhong)勒(le)索/多重(zhong)勒(le)索攻擊，其(qi)中(zhong)(zhong)，中(zhong)(zhong)國6個組織(zhi)(zhi)/企(qi)業遭(zao)受雙重(zhong)勒(le)索/多重(zhong)勒(le)索，另有8個組織(zhi)(zhi)/企(qi)業未被標明，因此不(bu)在以(yi)下表格中(zhong)(zhong)。

表2. 受害組織/企業

系統安全防護數據分(fen)析

360系(xi)統安全產品目前已加入黑客(ke)入侵防護(hu)功能，在本月被攻擊的系(xi)統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2025年(nian)6月受(shou)攻擊系(xi)統占(zhan)比(bi)

對(dui)2025年6月(yue)被(bei)攻(gong)擊(ji)系統所屬地(di)(di)域統計發(fa)現，與之前幾個月(yue)采集到的數據相比，地(di)(di)區(qu)(qu)排名(ming)和占比變化均不(bu)大。數字(zi)經濟發(fa)達地(di)(di)區(qu)(qu)仍是被(bei)攻(gong)擊(ji)的主要對(dui)象。

圖(tu)6. 2025年6月國內受攻擊地區占(zhan)比(bi)排名

通過觀(guan)察2025年6月弱口(kou)令(ling)攻擊(ji)態勢發現，RDP弱口(kou)令(ling)攻擊(ji)、MYSQL弱口(kou)令(ling)攻擊(ji)和MSSQL弱口(kou)令(ling)攻擊(ji)整體無較(jiao)大波(bo)動。

圖7. 2025年6月監控到的RDP入侵量

圖8. 2025年6月監控到(dao)的MS SQL入侵量

圖9. 2025年6月監控到的(de)MYSQL入侵量

勒索(suo)軟件關鍵詞

以下是本月上(shang)榜活躍(yue)勒(le)索軟件關(guan)鍵詞統計，數據(ju)來自360勒(le)索軟件搜索引擎(qing)。

2? wxx：屬于Weaxor勒索軟件家族，該(gai)家族目前的主要(yao)傳播方式(shi)為：利用各類軟件漏洞進行投毒(du)，以及通過暴力破解遠(yuan)程桌面(mian)口令(ling)，成(cheng)功后手(shou)動投毒(du)。

2? baxia：屬于(yu)BeijingCrypt勒(le)索軟(ruan)件家族，由于(yu)被加密文(wen)件后(hou)(hou)綴會被修改(gai)為beijing而成為關鍵詞(ci)。該家族主要的傳(chuan)播(bo)方(fang)式為：通過暴(bao)力(li)破解遠程桌面口(kou)令(ling)與數據庫(ku)弱口(kou)令(ling)成功后(hou)(hou)手(shou)動投毒。

2? wstop： RNTC勒索軟(ruan)件家族(zu)，該(gai)家族(zu)的(de)主要傳播方式為(wei)：通(tong)過暴力破解遠(yuan)程桌面口令成(cheng)功后手動投毒(du)，同(tong)時通(tong)過smb共享方式加(jia)密其(qi)他設備(bei)。

2? bixi：同baxia。

2? kalxat：屬于Kalxat勒(le)索(suo)軟(ruan)件(jian)家族(zu)，由于被加(jia)密文件(jian)后綴會被修改為(wei)kalxat而成為(wei)關鍵詞(ci)。該家族(zu)主要的(de)傳(chuan)播方式為(wei)：通過(guo)暴力破(po)解或注入數據庫成功后手(shou)動投毒。

2? weaxor：同wxx。

2? mallox：屬于TargetCompany(Mallox)勒索軟件(jian)(jian)家族，由于被加密文件(jian)(jian)后綴會被修改為mallox而(er)成(cheng)為關鍵詞。主(zhu)要(yao)通過(guo)(guo)暴力(li)破解遠程桌面口令成(cheng)功后手動投毒和SQLGlobeImposter渠(qu)道進行傳播(bo)，后增加利(li)用漏洞的傳播(bo)方式。此外,360安全大腦(nao)監控到該(gai)家族曾通過(guo)(guo)匿影僵尸網絡進行傳播(bo)。

2? mkp: 屬于Makop勒索軟(ruan)件(jian)家族(zu)，由于被加密(mi)文(wen)件(jian)后(hou)綴會(hui)被修改為(wei)mkp而(er)成為(wei)關鍵詞。該家族(zu)主要的傳播方式(shi)為(wei)：通(tong)過(guo)暴(bao)力破解(jie)遠程(cheng)桌面口令成功后(hou)手(shou)動投毒(du)。

2? peng：屬于phobos家族，使(shi)用Rust語言進行編譯的(de)版(ban)本，目前僅在國內(nei)傳播。該家族的(de)主要傳播方(fang)式(shi)為(wei)：通過暴力(li)破解遠程(cheng)桌面口令，成功(gong)后手動投毒(du)。

2? backups：屬于LockBit家(jia)族，以泄露的LockBit構建器代(dai)碼創建。該家(jia)族的主要傳播方式為：通(tong)過暴力破解遠程(cheng)桌面口令(ling)與數據庫口令(ling)，成功后手動投毒。

圖10 2025年6月反病毒搜索引擎關鍵詞(ci)搜索排(pai)名

解密大師

從解(jie)密(mi)(mi)大師(shi)本(ben)月解(jie)密(mi)(mi)數(shu)據看，解(jie)密(mi)(mi)量最大的(de)(de)是(shi)FreeFix,其次(ci)是(shi)GandCrab。使用解(jie)密(mi)(mi)大師(shi)解(jie)密(mi)(mi)文(wen)件的(de)(de)用戶(hu)數(shu)量,最高(gao)的(de)(de)是(shi)被Crysis家族(zu)加密(mi)(mi)的(de)(de)設(she)備(bei)。

圖11. 2025年6月解(jie)(jie)密(mi)大師解(jie)(jie)密(mi)文件數及設備數排名