近八成中招设备防护缺位，360发布5月勒索软件态势报告

360数字安全集团最新发布的《2026年5月勒索软件流行态势报告》显示，5月全球共有773个组织或企业遭遇双重勒索、多重勒索攻击，其中包括15家中国组织或企业。与此同时，勒索攻击仍保持高活跃态势，Sorry、Weaxor、LockBit等家族持续活跃，并呈现出漏洞利用、跨平台攻击、僵尸网络下发等多种传播方式交织的特点。

更值得企业关注的是，在5月勒索反馈设备中，58.94%未安装安全防护软件，19.94%虽然安装了安全软件但未正常启用相关防护。也就是说，接近八成中招设备存在“未部署”或“未启用”的防护缺位问题。

2026年5月勒索软件中招设备中安装的安全软件占比

这也说明，很多勒索事件并非完全源于攻击者使用了无法防御的新型武器，而是因为企业在漏洞修复、暴露服务管理、终端防护启用和安全策略执行等基础环节上仍存在短板。

双重勒索持续高发，企业损失不止是“文件打不开”

传统勒索攻击主要通过加密文件迫使受害者支付赎金，而现在，越来越多攻击者开始采用“双重勒索”甚至“多重勒索”模式：在加密系统之前先窃取数据，一旦企业拒绝支付赎金，便以公开敏感信息、联系客户或制造舆论压力相威胁。

报告显示，5月共有773个组织或企业遭遇双重勒索、多重勒索攻击。报告同时提示，相关数据主要来自未能第一时间缴纳赎金或拒缴赎金后被公开的部分，已经支付赎金的企业或个人，可能不会出现在清单中。

对企业来说，勒索攻击带来的损失已经不只是系统瘫痪、文件无法打开，更可能进一步影响数据合规、客户信任、品牌声誉和供应链稳定。尤其是制造、医疗、金融、商贸等数据密集型行业，一旦核心业务数据、客户资料或供应链文件被窃取，后续处置成本往往远高于单纯的系统恢复。

Sorry持续活跃，跨平台攻击值得警惕

5月，Sorry勒索家族持续活跃，并呈现出同时覆盖Linux和Windows环境的特点。

报告显示，360此前曾发布深度报告预警Sorry家族存在Linux版本。报告发布后不久，该家族Linux版本被境外多个安全论坛与媒体证实正利用cPanel漏洞大肆传播。与此同时，Sorry家族Windows版本在国内也维持高发态势，本月主要利用Borland Socket Server组件漏洞进行传播。该组件漏洞影响了国内多个行业头部厂商的中小微企业管理软件，现有反馈显示，受影响行业主要集中在医药、医疗器械、中小商贸，以及其他各类中小微企业。

这类攻击对政企单位和中小企业尤其具有现实风险：攻击入口未必出现在核心系统，也可能隐藏在一套长期运行、维护不足的管理软件、业务组件或Web服务中。一旦攻击者通过漏洞获得服务器权限，便可能进一步窃取账号、下发勒索程序，甚至向内网其他设备扩散。

报告还显示，5月被感染系统中，服务器数量领先于桌面PC，NAS平台攻击行为有所增加。NAS即网络附加存储，可理解为企业常用的共享存储设备。这意味着，勒索攻击一旦波及服务器、共享存储或备份环境，影响范围可能从单台办公电脑扩大到部门文件、业务数据甚至备份数据。

Weaxor、LockBit持续活跃，漏洞武器化速度加快

从5月感染家族占比来看，Weaxor家族占比26.72%，居首位；Wmansvcs占比23.71%，位居第二；Sorry家族以14.66%的占比位居第三。

2026年5月勒索软件家族占比

其中，Weaxor家族rox后缀变种持续活跃，360同时捕获了该家族这一后缀的Linux平台样本，延续了该家族漏洞利用的攻击模式。在Windows目标下，该家族仍在通过持续多轮更换远程下发的BYOVD驱动，对抗安全软件。此外，该家族还迅速将公开披露的一款联想漏洞驱动武器化发起攻击，并被360及时拦截。

LockBit家族本月也再度通过Phorpiex僵尸网络进行批量下发，相关反馈的攻击时段集中于5月26日后。报告指出，相关受害者中招前均未安装有效安全软件进行防护，鉴于僵尸网络具备内网传播与持续潜伏特性，受害者需要主动与所在机构或单位沟通，并及时开展内网安全扫描与加固。

这意味着，勒索攻击已经不再是单一病毒文件的传播，而是漏洞利用、远控投毒、僵尸网络、弱口令攻击和安全软件对抗共同组成的完整攻击链。对于企业而言，只靠事后查杀和人工排查，已经很难应对快速变化的勒索威胁。

“安装了”不等于“防住了”，安全能力必须真正生效

5月勒索反馈数据中，58.94%的中招设备未安装安全软件，19.94%未正常启用360安全软件，安装其他安全软件的设备占比为21.11%。报告同时提到，在溯源分析中，所有安装360安全软件的反馈设备均未开启相关防护，尚未发现绕过360多维防御体系的勒索攻击。

这反映出企业反勒索建设中的一个典型问题：安全产品完成采购和部署，并不等于防护已经真正生效。

在实际环境中，终端长期离线、策略未下发、功能被关闭、版本未升级、告警无人处置，都可能让已经部署的安全能力失去作用。对于勒索攻击来说，一台未启用有效防护的终端、一台暴露在公网的服务器，或者一套存在弱口令的数据库，都可能成为攻击者进入内网的突破口。

企业反勒索，需要重点守住五道防线

面对5月勒索攻击态势，企业首先需要全面梳理暴露在互联网侧的服务器、Web管理面板、远程桌面、数据库服务和第三方业务系统，重点排查已知漏洞、弱口令和异常远程工具。

其次，要把服务器、NAS、数据库、备份系统等关键资产纳入统一安全管理。尤其是存放核心业务数据和备份数据的设备，不能长期处于缺少监测、缺少补丁、缺少访问控制的状态。

第三，要定期核查安全软件是否在线、策略是否生效、关键防护功能是否开启，避免出现“产品已经安装，但实际没有防护”的情况。

第四，要建立离线、异地或不可篡改的备份机制，并定期开展恢复演练。备份文件不能长期与生产网络直接连通，否则一旦攻击者进入内网，可能在加密业务数据的同时破坏备份。

第五，要提前建立勒索事件应急预案。一旦发现异常加密、批量文件改名、可疑远程登录、安全软件被关闭等情况，应立即隔离设备，保留日志与样本，并同步评估是否存在数据泄露风险，避免只恢复系统而忽视后续影响。

从发现到恢复，360构建反勒索全链路防护

勒索攻击已经从单一恶意程序，演变为集漏洞利用、凭据窃取、横向移动、安全绕过、数据窃取和加密破坏于一体的完整攻击链。反勒索也不再只是终端查杀问题，而是对企业攻击面管理、威胁监测、数据保护和应急响应能力的综合考验。

目前，360正在整合反勒索服务、样本分析、威胁情报、安全大数据和安全大模型等能力，构建反勒索智能体体系，围绕勒索攻击实现“发现—研判—拦截—处置—解密—恢复”的全链路闭环。

未来，360数字安全集团将持续跟踪全球勒索攻击态势，加快高危攻击情报和防护能力落地，帮助政企客户及时发现风险、阻断攻击链、保护核心数据，将勒索攻击拦截在业务受到影响之前。

点击【阅读原文】，查看报告完整版。

阅读原文


360数字安全