勒索月报|360攻克4月两大勒索威胁：Wmansvcs全系变种可解密，Sorry完整攻击链曝光

在AI浪潮席卷全球的背景下，勒索软件的威胁格局正以前所未有的速度裂变与升级。在刚刚过去的4月，全球网络攻击活动依旧强势，各类勒索攻击借助自动化工具与持续扩大的数字攻击面，攻击频率与破坏力同步攀升。如今，勒索攻击所带来的早已不止是技术防线的局部失守，而是正从单点缺口演变为足以击穿生产运营、瘫痪关键服务、动摇政企核心业务的全局性战略威胁。



近日，360数字安全集团独家发布《2026年4月勒索软件流行态势分析》报告。在360安全智能体的深度赋能下，该报告系统揭示了勒索攻击向产业化、智能化加速演进的现实格局，精准刻画了主要病毒家族的迭代路径及其对能源、金融、制造等关键行业的定向渗透风险。在此基础上，报告还进一步夯实了“事前主动防御、事中快速阻断、事后持续加固”的闭环防护理念，为广大政企机构提供了一套覆盖战略规划、日常运营与应急响应的全流程解决方案。



报告显示，2026年4月，全球勒索软件威胁版图仍在继续加速扩张。双重勒索方面，HYFLOCK、Audit、TiMc、BlackWater、Aur0ra、M3rx等多支新力量相继入局；而传统勒索软件领域也不断演化出TorBrowserTor、NBLock、JanaWare等多个家族。



在传播量占比方面，Weaxor家族整体传播量仍以25.26%的占比继续领跑榜单。Wmansvcs家族则完成跃进，以22.68%的占比升至第二位。该家族自2025年6月首次出现以来，便迅速跻身国内最活跃的勒索软件之列，感染量长期稳居前二。今年2月，它曾成功终结Weaxor长达数月的垄断，登顶传播占比第一，反超关键在于从单一IP升级为多IP远程桌面攻击。

2026年4月勒索软件家族占比

近期传播中，该团伙展现出高度明确的攻击意图，持续聚焦国内用户，通过远程桌面协议（RDP）弱口令实施定向投毒与横向渗透。目前，该家族主要演化出“.peng”和“.wman”两个后缀分支。

值得注意的是，依托360安全智能体的赋能，目前已经能够成功解密该家族现有的全部变种，并为众多受害者提供了免费的技术解密服务。



榜单第三位被Sorry家族占据，其传播占比为20.62%。该勒索软件自今年3月出现以来，持续利用各类常见企业软件漏洞发起攻击，具备远程加载攻击载荷及跨平台勒索的能力。本月，360数字安全集团对这一新晋高危勒索软件进行了深度分析，全面解析了其在国内的投毒活动，为相关企业快速应对这一新增威胁提供了技术指引与参考。

从攻击目标的分布来看，4月基本延续了3月的态势。在所有操作系统中，Windows 10依然最受勒索软件“青睐”，其次分别为Windows Server 2012与Windows Server 2019。若按系统类型划分，桌面PC仍然是主要受害对象，与此同时，针对NAS平台的攻击活动也日趋频繁。



值得关注的是，随着双重及多重勒索模式的持续升温，数据泄露威胁同步攀升。360安全智能体监测数据显示，本月全球范围内共有789家政企机构新近沦陷。从主要勒索家族的赎金收益结构来看，Qilin、Thegentlemen与Dragonforce位居前三，占比分别为14.07%、10.52%和8.24%。

2026年4月通过数据泄露获利的勒索软件家族占比

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。



该体系将安全专家能力和经验进行固化，集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体。通过安全智能体的协同调度，该体系不仅可以完成自动化、毫秒级的威胁识别与处置，并能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，助力广大政企机构构建AI时代下面向勒索病毒的全生命周期防护能力。

让病毒进不来：在终端与流量侧部署360安全探针，通过互联网入口检测等主动防御能力实时监测威胁。一旦触发病毒告警，终端安全智能体将自动获取样本，快速完成病毒家族鉴定，并联动威胁情报进行深度分析，最终实时同步威胁级别与处置结果，实现在病毒落地阶段的精准查杀与拦截；

让病毒散不开：终端勒索防御智能体能够对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；

让病毒难加密：通过终端安全探针结合云端情报赋能，利用终端安全智能体的自动溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；

加密后易恢复：内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，并通过终端安全智能体实现加密后的全方位恢复工作。



目前，360安全智能体蜂群体系针对不同类别的勒索病毒，不同客户体量与需求，推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。



欢迎点击【阅读原文】

获取完整报告

如需咨询相关服务

请联系电话

400-0309-360



阅读原文



360数字安全