勒索软件威胁与防护年度报告（2026）

主编：思而听何颖思而听梁文豪数世咨询李少鹏 责编：思而听张沛垚思而听王子豪数世咨询闫志坤 技术支持：思而听李林菲思而听徐龙州数世咨询数字安全能力研究院 美工团队 思而听吴艳丽数世咨询闫志坤 目录 执行摘要.....................................................................................................1 第一章｜勒索攻击态势............................................................................3 1.勒索事件规模与趋势.................................................................................................32.主流勒索组织与活跃家族分布情况.........................................................................73.勒索家族加密方式分析...........................................................................................29 （二）勒索软件入侵路径与传播机制深度分析..................................................32（三）2025年勒索组织演化与家族更替情况....................................................34 第二章勒索软件受害者画像与风险特征分析..................................45 （一）受害单位地理分布特征..............................................................................45（二）受攻击系统与平台类型分布......................................................................46（三）受害单位所属行业分析..............................................................................47 第三章勒索攻击者行为与攻击手段分析..........................................48 1.Qilin与DragonForce............................................................................................482.关于LockBit兴衰全貌的深度长文分析..............................................................523.深度威胁情报分析：Weaxor勒索软件(Mallox家族变种）...........................564.Phobos与8Base勒索软件组织的生态演变与覆灭........................................585.一场注定崩盘的“黑吃黑”与地下亿元赎金帝国.....................................................61 （二）攻击者基础设施与活动特征......................................................................67 1核心基础设施（隐匿根基）................................................................................672即时通讯工具（实时谈判）................................................................................683专用加密邮箱(匿名投递)......................................................................................704主流公共邮箱(伪装与渗透)..................................................................................72 （三）勒索攻击手段与技术路径分析..................................................................73 1.口令破解攻击...........................................................................................................73 2.漏洞利用攻击...........................................................................................................983.横向渗透与权限扩散攻击.....................................................................................107 第四章勒索软件技术发展与风险趋势研判....................................132 （一）AI技术对勒索攻防形态的影响...............................................................132（二）从“技术犯罪”到“全球化商业体系”...........................................................135（三）专精无加密勒索的全面兴起....................................................................138 第五章勒索防护与应急响应实践建议..............................................140 1.发现勒索攻击后的应急处置流程............................................................1412.企业反勒索安全体系规划建议...............................................................1423.勒索事件处置后的加固与防护措施.......................................................142 (二)面向个人用户的安全防护建议....................................................................143 1.个人安全意识与使用习惯建议................................................................1432.高风险上网行为防范建议.......................................................................1433.遭遇勒索风险时的应急处理措施...........................................................144 (三)红色预警日历：基于数据的资源调配策略................................................144 附录一2025年度国外重大勒索事件回顾................................145 执行摘要 在数字化转型加速推进的当下，勒索软件攻击已成为全球企业面临的最为严峻的网络安全威胁之一。2025年，全球勒索攻击呈现出前所未有的爆发态势，给企业带来了巨大的经济损失和运营风险。为了帮助企业深入了解勒索软件威胁态势，制定科学有效的防御策略，本报告通过双重视角对2025年勒索软件威胁进行了系统性分析。 本报告旨在全面揭示2025年勒索软件攻击的时间分布、攻击者格局和国内实战处置情况，为企业提供有针对性的防御建议，帮助企业降低勒索软件攻击风险，保障业务的持续稳定运行。 为确保分析的全面性和准确性，本报告采用了双重视角进行研究。一方面，通过Ransomware.live全球威胁情报平台追踪数据，对全年勒索攻击事件进行统计和分析；另一方面，基于Solar安全应急响应团队全年处置的实战案例，深入剖析攻击者的战术演进与防御方的应对策略。 研究发现，2025年全球勒索攻击时间分布呈现出显著的“双峰一谷”运营周期特征。第一季度以2,421起事件占据全年29.3%的份额，形成年初的攻击爆发期；第二、三季度进入相对低谷的蓄力阶段；第四季度则以2,417起事件实现强势反弹，环比增长47.29%，形成年末的收割高峰。攻击者格局方面，Qilin家族以12.4%的市场占比跃居年度榜首，Akira（9.5%）和Clop（6.6%）紧随其后，前三大家族合计占据28.4%的市场份额。 从国内实战处置视角看，Solar应急响应团队2025年累计处置勒索案件534起，较2024年激增544.89%，攻击规模呈现爆发式增长。高危级事件占比高达99.61%，双重勒索模式占比55.32%，“二次勒索”风险凸显，35.2%的企业因未彻底清除内网后门而短期内遭遇二次攻击。Weaxor家族在第二季度的集中爆发，成为年度最具代表性 的攻击战役。 基于以上研究结果，为帮助企业有效应对勒索软件攻击，我们提出以下具体建议：一是加强安全意识培训，提高员工对勒索软件的识别和防范能力；二是建立完善的安全防护体系，包括防火墙、入侵检测系统、数据备份等，及时修复系统漏洞，防止攻击者入侵；三是制定应急响应预案，定期进行演练，确保在遭受勒索软件攻击时能够迅速做出反应，降低损失；四是加强与安全厂商和行业组织的合作，及时获取最新的威胁情报和防御技术。 通过实施上述建议和行动计划，企业可以有效降低勒索软件攻击风险，减少经济损失，保障业务的持续稳定运行。同时，也有助于提升企业的安全管理水平，增强市场竞争力。 第一章｜勒索攻击态势 （一）概况 1.勒索事件规模与趋势 1.1总体态势：从边界监测向应急响应实战的纵深演进 区别于传统安全厂商基于边界防御日志的常规流量监测，SolarCERT安全应急响应团队（以下简称“SolarCERT”）的服务视角更聚焦于已突破防线并造成实质性破坏的勒索事件处置。2025年，SolarCERT（以下同）累计接收并有效处置勒索软件攻击事件534起。这些数据直接映射了当前企业面临的严峻现实：核心业务中断、关键数据丢失以及内网环境下的高强度攻防对抗。 2025年的勒索攻击时间分布曲线呈现出鲜明的季节性特征，这种规律性并非偶然，而是攻击者基于受害者行为模式精心优化的运营策略体现。深入理解这一节奏背后的驱动因素，对于制定前瞻性的防御计划具有重要价值。与2024年相比，Solar团队处置的勒索案件总量激增544.89%。 2月份以1,016起攻击事件创下全年峰值，环比1