360预警：僵尸网络传播+自适应加密“二合一”，Lockbit家族新变种威胁升级

近期，360数字安全集团集中接到数十起勒索软件攻击求助。经分析确认，此次攻击活动呈现明显的时间规律，多集中于凌晨3点及晚间8点之后，是由Lockbit勒索软件的一个变种发起，其传播源头为已在境内活跃多年的Phorpiex僵尸网络。

360通过溯源发现，该勒索病毒在代码层面与早年公开泄露的Lockbit版本高度相似。鉴于Lockbit官方组织早已升级其代码，可判定此次出现的变种是攻击者基于泄露代码自行构建的版本，并自命名为“Aware”。

值得关注的是，此次负责传播的Phorpiex僵尸网络历史上曾多次与Lockbit家族协作，本次攻击可视作二者恶意合作的延续。该僵尸网络长期潜伏于境内大量计算机中，尤其在缺乏有效安全防护的公共设备中较为常见，过去其主要通过植入挖矿木马获利，此次转向传播勒索病毒，意味着其危害性进一步升级，对广大政企单位的数据安全与系统稳定性构成了更为严峻的威胁。

在进一步技术分析，360发现Aware勒索软件具备较强的适应性。其会根据运行参数动态选择不同的加密方式，以便攻击者根据被入侵设备的实际情况最大化加密效率。此外，为提高加密速度，该勒索软件还会依据文件大小采取差异化策略：对小于5MB的文件进行全量加密；对更大的文件，则默认仅加密文件头部约20%的数据。

加密完成后，Aware勒索软件会在受攻击设备上留下勒索信，其中包含一个用于联系谈判的.onion暗网地址。360安全专家曾伪装成受害者尝试与攻击者交涉，对方要求支付约2300美元的比特币作为解密赎金。

本次攻击主要集中在未部署360终端安全智能体或未开启相关防护功能的设备中，已部署并保持防护正常运行的设备，均能有效抵御此次勒索攻击。

其防护有效性主要得益于360终端安全智能体内置的“渗透痕迹记录”检测功能，可准确识别系统中残留的“感染僵尸网络”痕迹，这也正是Aware勒索软件最常见的入侵途径。

部分受害者在事后安装360终端安全智能体进行检测，仍发现设备中存在相关僵尸网络木马的活动。由于此类木马具备内网传播能力，且常在静默潜伏后集中爆发，建议各政企单位尽快开展全面排查，及时清除安全隐患。

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。

该体系将安全专家能力和经验进行固化，集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体。通过安全智能体的协同调度，该体系不仅可以完成自动化、毫秒级的威胁识别与处置，并能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，助力广大政企机构构建AI时代下面向勒索病毒的全生命周期防护能力。

让病毒进不来：在终端与流量侧部署360安全探针，通过互联网入口检测等主动防御能力实时监测威胁。一旦触发病毒告警，终端安全智能体将自动获取样本，快速完成病毒家族鉴定，并联动威胁情报进行深度分析，最终实时同步威胁级别与处置结果，实现在病毒落地阶段的精准查杀与拦截；

让病毒散不开：终端勒索防御智能体能够对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；

让病毒难加密：通过终端安全探针结合云端情报赋能，利用终端安全智能体的自动溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；

加密后易恢复：内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，并通过终端安全智能体实现加密后的全方位恢复工作。

目前，360安全智能体蜂群体系针对不同类别的勒索病毒，不同客户体量与需求，推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。


如需咨询相关服务

请联系电话

400-0309-360



360数字安全