勒索软件流行态势分析 2025年11月 三六零数字安全科技集团|高级威胁研究分析中心360数字安全——数字安全的领导者 第1页勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新 型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到近亿美元的 勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越 大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提 供360反勒索服务。 2025年11月，全球新增的双重勒索软件有Tridentlocker家族，传统勒索软件新 增QuickLock、Kazu、BlackHeolas等多个家族。 近半年在国内持续热门的Top2家族Wmansvcs进行了一次变种，加密后缀由之前 的.peng变成了.wman，攻击方式依旧是远程桌面协议登录投毒并同时加密共享设备。 本月360发布了仅在国内传播的SnowSoul勒索软件技术分析与独家解密方案，充 分体现了360反勒索服务的技术能力与长期守护的决心。 以下是本月值得关注的部分热点： OnSolveCodeRED网络攻击扰乱全美紧急警报系统 《华盛顿邮报》数据泄露事件影响近10万名员工和承包商 媒体巨头日经新闻通报数据泄露事件影响17000人 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心 （CCTGA勒索软件防范应对工作组成员）发布本报告。360数字安全——数字安全的领导者 第2页感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比33.54%居 首位，第二Wmansvcs家族占比26.08%，LockBit家族占比11.8%位居第三。 图1.2025年11月勒索软件家族占比 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows Server2012以及WindowsServer2008。 图2.2025年11月勒索软件入侵操作系统占比360数字安全——数字安全的领导者 第3页2025年11月被感染的系统中，桌面系统和服务器系统占比显示，受攻击的系统类 型服务器小幅领先桌面PC。 图3.2025年11月勒索软件入侵操作系统类型占比360数字安全——数字安全的领导者 第4页勒索软件热点事件 OnSolveCodeRED网络攻击扰乱全美紧急警报系统 OnSolveCodeRED平台遭遇网络攻击，导致美国各州和地方政府、警察部门、消防 机构等公共安全单位紧急通知系统瘫痪。Crisis24公司确认，该平台遭到网络犯罪集团 攻击，迫使其停用旧版CodeRED系统，并开始恢复新的CodeRED系统。虽然攻击只影响 了CodeRED平台，并未波及其他系统，但攻击者从平台窃取了大量用户数据，包括姓名、 地址、电子邮件、电话号码和密码。Crisis24表示，虽然数据被窃取，但目前没有证据 表明数据已公开发布。 同时，Crisis24的调查显示，黑客使用了INCRansom勒索软件家族，并于2025 年11月1日入侵OnSolve系统，11月10日加密文件。勒索集团要求支付赎金，但因未 收到赎金，黑客已将偷取的数据出售。数据泄露后，客户被建议重置CodeRED账户的密 码。该勒索软件家族自2023年7月起活跃，已攻击多个行业的组织，包括教育、医疗、 政府等。 《华盛顿邮报》数据泄露事件影响近10万名员工和承包商 《华盛顿邮报》近日通知近10000名员工和承包商，他们的部分个人和财务数据在 Oracle数据泄露事件中遭到曝光。攻击发生在2025年7月10日至8月22日之间，黑 客利用OracleE-BusinessSuite软件中的零日漏洞侵入了《华盛顿邮报》的网络。该 软件广泛用于企业资源规划（ERP），包括人力资源、财务和供应链管理。黑客窃取了敏 感数据，并在9月末尝试向《华盛顿邮报》勒索。调查显示，攻击者利用这一漏洞侵入 了多个大公司，包括哈佛大学、美国航空子公司EnvoyAir和日立旗下的GlobalLogic。 根据《华盛顿邮报》的调查，约9,720名员工和承包商的个人信息被泄露，包括姓 名、银行账户信息、社保号码、税号和身份证号。受影响者已获得为期12个月的免费 身份保护服务，并被建议冻结信用档案和设置欺诈警报。360数字安全——数字安全的领导者 第5页尽管攻击者未被明确指名，但已知Clop勒索软件团伙与这些攻击事件相关，该团 伙利用了现在被追踪为CVE-2025-61884的零日漏洞。值得注意的是，今年早些时候，《华 盛顿邮报》的记者电子邮件账户也曾遭到外国国家行为者的攻击，且两起事件似乎有某 种联系。 媒体巨头日经新闻通报数据泄露事件影响17000人 日本媒体巨头日经（Nikkei）近日报告了一起数据泄露事件，涉及超过17,000名 员工和商业合作伙伴。该公司透露，攻击者通过盗取员工计算机感染恶意软件后获取的 认证凭证，成功访问了日经的Slack消息平台。泄露的个人信息包括17,368名Slack 用户的姓名、电子邮件地址和聊天记录。 日经在9月发现了此次安全漏洞后，立即采取了安全措施，包括强制修改密码等。 尽管事件的规模较大，但日经表示泄露的信息不符合日本《个人信息保护法》的报告要 求，因此没有法律强制报告。但公司仍自愿向日本个人信息保护委员会通报，并强调透 明度和事件的“重要性”。 日经还表示，泄露的数据不包括机密消息源或报道活动相关的信息，且用于新闻工 作的个人数据未受影响。此次事件显示出日经对个人信息管理的重视，承诺加强管理以 防止类似事件再次发生。360数字安全——数字安全的领导者 第6页黑客信息披露 以下是本月收集到的黑客邮箱信息： [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] 表1.黑客邮箱360数字安全——数字安全的领导者 第7页当前，通过双重勒索或多重勒索模式