勒索月报|360披露12月勒索软件流行态势：AI辅助开发成新兴“攻击标配”

当前，勒索攻击在AI驱动下正在经历着根本性革新。其高度智能化的攻击方式，能够以“机器速度”的工业化效率，精准定位并瘫痪能源、金融等关键领域的核心业务节点。攻防对抗进入“毫秒级博弈”时代，这一威胁已远超传统技术层面，成为广大政企机构必须系统性应对的战略挑战。

近日，360数字安全集团重磅发布《2025年12月勒索软件流行态势分析》报告。该报告依托360安全智能体赋能，揭示了当前勒索攻击向产业化、智能化演进的最新趋势，重点追踪了病毒变种演化及对关键行业的威胁。

同时，报告创新性提出“预警-处置-恢复”全周期智能防护体系，通过动态感知、快速响应与韧性加固三大核心策略，致力为广大政企机构构建起体系化的数字安全能力，推动实现向智能主动防御的跃升。

报告显示，全球勒索软件家族在12月中，扩容趋势依旧显著。双重勒索领域新增MintEye、MS13-089、Sicari、Osiris及Dark Shinigamis五大家族，传统勒索软件阵营则涌现MiddCrypto、Marabu等多支新变种。

其中，MiddCrypto家族利用钓鱼方式，通过植入付费软件的注册机程序传播。其采用.NET编写并加入大量混淆，具备云端条件筛选与用户画像识别能力，加密后会引导受害者扫码支付。360在接到用户反馈后第一时间进行了深度分析，并提供了解密方案。

另一新增家族Marabu则主要针对Linux平台，其特点是使用Rust语言编写并大量采用AI辅助进行代码生成，体现了勒索软件与AI技术深度融合的新趋势。

在传播量占比方面，勒索软件生态头部格局呈现出“总体稳定，局部迭代”的特征。Weaxor家族以32.65%的占比持续占据首位，其当月主要变种已将加密后缀更新为.rx，攻击方式仍侧重于利用Web漏洞入侵，并通过注入系统进程、轮询加载漏洞驱动等方式，与安全软件进行深度内核对抗。

位列第二、三位的Wmansvcs和Beast家族，占比分别为24.49%和10.2%，共同构成了当月勒索威胁的中坚力量。

2025年12月勒索软件家族占比

同时，在11月位列榜单第三的LockBit家族虽在12月中仅屈居第六，但其最新5.0版本已在月初强势回归。360监测数据显示，新版在发布后一周内列出的受害者即达41个，其中包括2家中资机构，印证了该家族及其衍生变种在国内的持续威胁。

值得注意的是，360发现该家族的最新攻击模式已升级为多轮人工介入的定向钓鱼，实现了从“广撒网”到“精渗透”的战术转变。此类演变凸显了其更高的攻击意图与风险，需引起广大政企机构高度重视。

LockBit5.0暗网主页

在攻击目标方面，Windows 10仍然是勒索软件最主要的攻击目标，其后是Windows Server 2012与Server 2016。在受攻击的系统类型分布上，服务器与个人桌面PC占比已完全持平。

此外，双重及多重勒索的威胁态势持续严峻。360安全智能体的监测数据显示，全球当月新增受害政企机构达808家，较此前显著上升。从各勒索家族的收益占比来看，Qilin家族以14.27%的占比位居第一；LockBit 5.0得益于其新版发布初期的活跃表现，迅速占据第二；Akira家族则位列第三。

2025年12月通过数据泄露获利的勒索软件家族占比



作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。

该体系将安全专家能力和经验进行固化，集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体。通过安全智能体的协同调度，该体系不仅可以完成自动化、毫秒级的威胁识别与处置，并能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，助力广大政企机构构建AI时代下面向勒索病毒的全生命周期防护能力。

让病毒进不来：在终端与流量侧部署360安全探针，通过互联网入口检测等主动防御能力实时监测威胁。一旦触发病毒告警，终端安全智能体将自动获取样本，快速完成病毒家族鉴定，并联动威胁情报进行深度分析，最终实时同步威胁级别与处置结果，实现在病毒落地阶段的精准查杀与拦截；

让病毒散不开：终端勒索防御智能体能够对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；

让病毒难加密：通过终端安全探针结合云端情报赋能，利用终端安全智能体的自动溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；

加密后易恢复：内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，并通过终端安全智能体实现加密后的全方位恢复工作。

目前，360安全智能体蜂群体系针对不同类别的勒索病毒，不同客户体量与需求，推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。



360数字安全