勒索軟件傳播至今，360反勒索服務(wù)已累計收到數(shù)萬次勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)，勒索軟件對企業(yè)和個人的影響和危害也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年6月，全球新增的雙重勒索軟件有WarLock、Kawa4096、TeamXXX等多個家族，傳統(tǒng)勒索軟件新增UraLocker、SafeLocker等家族。

本月360反勒索服務(wù)團隊接到大量Weaxor勒索家族的反饋，經(jīng)技術(shù)人員分析排查發(fā)現(xiàn)該家族勒索軟件主要是利用企業(yè)OA系統(tǒng)漏洞進入到內(nèi)部網(wǎng)絡(luò)的。我們也針對性的發(fā)布了相關(guān)分析報告和解決方案。

以下是本月值得關(guān)注的部分熱點：

Anubis勒索軟件添加了擦除器來阻止文件恢復(fù)

Krispy Kreme表示，去年11月的數(shù)據(jù)泄露影響了超過16萬人

邁凱倫醫(yī)保表示，數(shù)據(jù)泄露影響了74.3萬名患者

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進行統(tǒng)計：Weaxor家族占比52.24%居首位，第二的是RNTC、占比11.94%，BeijingCrypt家族以7.46%的占比位居第三。

圖1. 2025年6月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

圖2. 2025年6月勒索軟件入侵操作系統(tǒng)占比

2025年6月被感染的操作系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型中，桌面PC系統(tǒng)大幅領(lǐng)先服務(wù)器系統(tǒng)。

圖3. 2025年6月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點事件

Anubis勒索軟件添加了擦除器來阻止文件恢復(fù)

近期，我們發(fā)現(xiàn)Anubis勒索軟件在文件加密工具中，添加了一個擦除器模塊。該模塊會銷毀目標(biāo)文件，即使支付了贖金也無法恢復(fù)。目前，Anubis在暗網(wǎng)上的勒索頁面只列出了8名受害者。

6月13日，一份安全研究機構(gòu)的報告顯示，Anubis團伙在代碼中添加了一些新功能，其中也包含了文件擦除功能。研究人員通過分析最新Anubis樣本，發(fā)現(xiàn)了擦除器功能，認為該功能是為了讓受害者在壓力之下付款。其代碼會識別命令行參數(shù)“/WIPEMODE”激活破壞性行為，該參數(shù)需要發(fā)出基于密鑰的身份驗證。激活后，擦除器會擦除所有文件內(nèi)容，將其大小減小到0KB，同時保持文件名和結(jié)構(gòu)不變。受害者仍能看到預(yù)期目錄中的所有文件，但其內(nèi)容已銷毀且無法恢復(fù)。

相關(guān)機構(gòu)的分析顯示，Anubis在啟動時支持多個命令，包括用于權(quán)限提升、目錄排除和目標(biāo)路徑加密的命令。默認情況下，重要的system和program目錄被排除在外，以避免導(dǎo)致系統(tǒng)完全不可用。勒索軟件還會刪除卷影副本，并終止可能干擾加密過程的進程和服務(wù)。

該勒索軟件加密代碼使用了ECIES算法，并在加密文件后附加“.anubis”擴展名。完成加密后，在加密目錄中放置了HTML贖金記錄，并且嘗試更改桌面壁紙。

Krispy Kreme表示，去年11月的數(shù)據(jù)泄露影響了超過16萬人

美國甜甜圈連鎖店Krispy Kreme證實，攻擊者在2024年11月的一次網(wǎng)絡(luò)攻擊中，竊取了超過16萬人的個人信息。

Krispy Kreme透露，在今年6月下旬提交緬因州總檢察長辦公室的一份文件中，其在去年11月遭遇的數(shù)據(jù)泄露已影響161676人。雖然該公司沒有透露事件中暴露了哪些數(shù)據(jù)，但提交馬薩諸塞州總檢察長的另一份文件顯示，被盜文件包含受影響個人的社會安全號碼、金融賬戶信息和駕駛執(zhí)照信息。

Krispy Kreme于2024年11月29日在其IT系統(tǒng)上檢測到未經(jīng)授權(quán)的活動，并在12月11日提交美國證券交易委員會的文件中，披露了該事件及其在線訂購中斷的情況。該公司還采取措施遏制漏洞，并聘請了外部網(wǎng)絡(luò)安全專家來評估攻擊對其運營的全面影響。

雖然Krispy Kreme始終尚未公布有關(guān)11月數(shù)據(jù)泄露事件的更多細節(jié)，但Play勒索軟件團伙在去年12月下旬聲稱對此次攻擊負責(zé)，稱他們還從該公司網(wǎng)絡(luò)中竊取了數(shù)據(jù)。

Play勒索軟件聲稱，其竊取到的文件包含：

l? 個人機密數(shù)據(jù)

l? 客戶文件

l? 預(yù)算

l? 工資單

l? 會計賬單

l? 合同

l? 稅務(wù)繳納ID

l? 財務(wù)信息

最終，Play勒索軟件團伙在與該公司談判失敗后，于12月21日在其暗網(wǎng)泄露網(wǎng)站上發(fā)布了多個檔案，其中包含數(shù)百GB文件。

邁凱倫醫(yī)保表示數(shù)據(jù)泄露影響了74.3萬名患者

邁凱倫醫(yī)保組織警告74.3萬名患者，2024年7月發(fā)生的INC勒索軟件攻擊，導(dǎo)致其衛(wèi)生系統(tǒng)發(fā)生數(shù)據(jù)泄露。雖然攻擊是在2024年8月5日被發(fā)現(xiàn)的，但確定攻擊影響的司法調(diào)查直到2025年5月5日才完成，相關(guān)通知直到6月20日才發(fā)布。

2024年8月初，邁凱倫醫(yī)保組織遭遇IT和電話系統(tǒng)中斷，促使其進行調(diào)查。據(jù)報道，患者數(shù)據(jù)庫受到影響，人們在訪問邁凱倫醫(yī)院時，被要求攜帶有關(guān)預(yù)約和藥物的信息。盡管該組織沒有具體說明攻擊者情況，但邁凱倫位于密歇根州貝城的一家醫(yī)院的一名員工在網(wǎng)上發(fā)布了INC的勒索信息，這些勒索信息會通過醫(yī)院的打印機自動打印。

在發(fā)送給受影響個人的通知中，邁凱倫醫(yī)保組織承認該事件涉及勒索軟件攻擊，但仍未提及INC。本次調(diào)查確認，攻擊者在2024年7月17日至2024年8月3日期間，擁有邁凱倫和Karmanos系統(tǒng)的訪問權(quán)限。

在提交給美國當(dāng)局的邁凱倫數(shù)據(jù)泄露樣本中確認患者姓名信息已泄露，并增加了其他已泄露的數(shù)據(jù)類型。因此，數(shù)據(jù)泄露的整體情況仍不清楚。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件也讓數(shù)據(jù)泄露風(fēng)險越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅包含未第一時間繳納贖金或拒繳納贖金的部分企業(yè)或個人（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

圖4. 2025年6月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險的企業(yè)或個人，也請第一時間自查，做好數(shù)據(jù)已泄露的準(zhǔn)備，采取補救措施。

本月總共有478個組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中，中國6個組織/企業(yè)遭受雙重勒索/多重勒索，另有8個組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品目前已加入黑客入侵防護功能，在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2025年6月受攻擊系統(tǒng)占比

對2025年6月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)相比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是被攻擊的主要對象。

圖6. 2025年6月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年6月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2025年6月監(jiān)控到的RDP入侵量

圖8. 2025年6月監(jiān)控到的MS SQL入侵量

圖9. 2025年6月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

2? wxx：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞進行投毒，以及通過暴力破解遠程桌面口令，成功后手動投毒。

2? baxia：屬于BeijingCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設(shè)備。

2? bixi：同baxia。

2? kalxat：屬于Kalxat勒索軟件家族，由于被加密文件后綴會被修改為kalxat而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解或注入數(shù)據(jù)庫成功后手動投毒。

2? weaxor：同wxx。

2? mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，后增加利用漏洞的傳播方式。此外,360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡(luò)進行傳播。

2? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

2? peng：屬于phobos家族，使用Rust語言進行編譯的版本，目前僅在國內(nèi)傳播。該家族的主要傳播方式為：通過暴力破解遠程桌面口令，成功后手動投毒。

2? backups：屬于LockBit家族，以泄露的LockBit構(gòu)建器代碼創(chuàng)建。該家族的主要傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫口令，成功后手動投毒。

圖10 2025年6月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是FreeFix,其次是GandCrab。使用解密大師解密文件的用戶數(shù)量,最高的是被Crysis家族加密的設(shè)備。

圖11. 2025年6月解密大師解密文件數(shù)及設(shè)備數(shù)排名