软件行业：2025年勒索软件流行态势报告

　　RANSOMWARE THREAT REARCH REPORT 2025

    　　2025年

    　　勒索软件流行态势报告

    　　2026年1月

    　　前 言

    　　本报告以三六零数字安全集团能力中心反病毒部（CCTGA勒索软件防范应对工作组成员）在2025年全年监测、分析与处置的勒索软件事件为基础，结合国内外与勒索软件研究相关的一线数据与安全数据进行全面梳理、研判与汇总而成。报告聚焦国内勒索软件的发展动态，同时融入国际热点事件与形势的分析判断，旨在评估2025年勒索软件传播与演化趋势，并深入探讨未来可能的发展方向，以协助个人、企业和政府机构更有效地制定安全规划，降低遭受勒索攻击的风险。

    　　360反病毒部是三六零数字安全集团的核心能力支持部门，由一批常年奋战在网络安全一线的攻防对抗专家组成。该部门负责监测、防御、处置流行病毒木马以及研究新安全威胁。维护360高级威胁主动防御系统、360反勒索服务等基础安全服务，并提供横向渗透防护、网络入侵防护、Web服务保护、挖矿木马防护等多项保护功能，保护政企单位与广大网民的网络安全。

    　　摘 要

    　　2025年，360反勒索服务平台共处理2179起勒索软件攻击求助案例。从反馈情况来看，国内勒索软件整体的攻击态势与往年类似，安全形势依然严峻。

    　　勒索软件攻击的目标仍然集中于企事业单位，虽然中小企业依然是遭受攻击的主要群体，但规模较大的政企单位受到攻击的情况同样不容忽视。

    　　2025年度国内最为流行的勒索软件家族相比去年变化较大，前三家为Weaxor、LockBit和Wmansvcs，我们对这三家勒索软件的处置量占总量的58.4%以上。

    　　由于当前勒索软件已基本形成了较为成熟稳定的产业链，其传播手段趋于稳定。2025年，勒索软件的传播依然是以远程桌面和漏洞利用两种手段为主，仅这两种传播途径就占到了总量的近八成。其中利用漏洞传播是去年Mallox家族的传统手段，虽然本年度该家族已不再流行，但Weaxor作为该家族的重塑版本，则很好地继承了这一传统。

    　　勒索软件的核心加密算法延续了往年的思路，在保证加密强度的前提下，尽可能提升加密效率。Curve25519、ChaCha20等高效算法已渐成主流，而2025年新兴的TheGentlemen勒索软件，则采用了X25519配合XChaCha20算法，进一步提升了加密的效率与强度。

    　　2025年，双重勒索和多重勒索模式在赎金要求方面有所回落。与去年动辄过千万美元的赎金金额有所区别，今年多家勒索软件的勒索金额降至百万美元量级，即使BlackCat对美国环球健康服务公司这类巨头企业的勒索金额也仅为2200万美元。此外，2025年度国内最为流行的Weaxor勒索软件，更是将原本3万元人民币的勒索金额降低至1.2万元左右。

    　　服务业、制造业和建筑业是2025年受到双重/多重勒索攻击的主要行业。目前已公开的被勒索企业中，美国企业依然以超过半数的占比位居榜首，我国亦有企业上榜，占比约1.46%。

    　　2025年，广东、北京和浙江三省/市排在国内勒索软件攻击态势严重程度的前三位。受攻击的系统类型变化不大，桌面操作系统仍然位居首位，但Windows 10系统正逐步被Windows11取代。

    　　制造业、互联网及软件、服务业是2025年国内勒索软件攻击的主要目标，教育、医疗行业也受到了较多的攻击，分列第五和第六位，这也应引起重视。

    　　在攻击IP来源方面，美国成为勒索攻击IP的第一大来源地，其后则多为欧洲国家，而新加坡和我国香港地区因为存在大量被黑客租用的服务器机房，也榜上有名。此外，勒索软件作者所采用的沟通邮箱依然以匿名邮箱为主。

    　　在与勒索软件对抗的安全技术发展方面，我们认为，未来将朝着AI技术应用、专业化与系统化攻防对抗等方向进一步演进。同时，360也推出了多款创新工具，持续走在与勒索软件对抗的安全技术前沿，推动行业在防护能力和应对策略上不断提升。