2026年1月勒索软件流行态势分析报告-.docxVIP

2026年1月

勒索软件

流行态势报告

勒索软件流行态势报告

第1页

勒索软件传播至今，360反勒索服务已累计接收到数万例勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2026年1月，全球新增的双重勒索软件有BravoX、ClearWater、Vect、GreenBlood家族，传统勒索软件家族新增Milkyway、RahidsLocker、GrandMonty、PurpleCryptr等多个家族。

本月在国内持续热门的勒索家族Weaxor家族新增了一个分支变种，主流加密后缀变更为.xr，攻击方式依旧是利用Web漏洞发起攻击并通过注入系统进程轮询加载漏洞驱动，与安全软件做内核对抗。

本月出现了一个名为0APT的勒索软件组织，但实际上是一个诈骗团伙。该组织利用AI生成的虚假受害公司对外发布信息，并夹杂少量真实的受害公司，以制造看似真实的假象。目前该组织开始招募所谓的“黑帽黑客”，但其真实目的并不是组织勒索攻击，而是诈骗并窃取被招募者的比特币。此案例佐证了一个长期存在的现实：网络诈骗攻击不只面向普通民众，同样广泛针对安全分析人员、黑产从业者、IT管理员等传统意义上的所谓的技术认知强的目标群体。

勒索软件流行态势报告

第2页

以下是本月值得关注的部分热点：

1LockBit变种两度利用僵尸网络下发

2MiddCrypto勒索软件利用国内全实名平台链路进行投毒

3Nike在勒索团伙公布文件后调查数据泄露事件

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心（CCTGA勒索软件防范应对工作组成员）发布本报告。

勒索软件流行态势报告

第3页

安全软件占比分析

360反勒索服务已经存在十年以上，并长期致力于服务来自全网的勒索病毒攻击的响应、分析、处置、攻防、预警、解密工作。自2026年1月起，新增安全软件占比统计，主要用于评估当前复杂网络攻防态势下愈发严重的基线安全问题，为勒索相关的攻击事件提供接近真实维度的数据。

本月的勒索反馈中未装安全软件的占比达到70%，而未正常启用360安全软件的设备数量则占比12%，安装了其他安全软件的设备则占比18%。在溯源分析中发现，所有安装了360安全软件的反馈设备均未开启相关防护，尚未发现绕过360多维防御体系的勒索攻击。

图1.2026年1月勒索软件中招设备中安装的安全软件占比

勒索软件流行态势报告

第4页

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比38.55%居首位，第二的是LockBit占比21.69%，Wmansvcs家族以16.47%占比位居第三。

图2.2026年1月勒索软件家族占比

第5页

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows11以及WindowsServer2012。

图3.2026年1月勒索软件入侵操作系统占比

勒索软件流行态势报告

第6页

2026年1月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC大幅领先服务器，Nas平台攻击行为有所增加。

图4.2026年1月勒索软件入侵操作系统类型占比

第7页

勒索软件热点事件

LockBit变种两度利用僵尸网络下发

360反勒索服务在1月5日与1月23日分别接到数十例LockBit家族变种感染的集中反馈，在一些社交媒体平台也会看到同期LockBit家族相关的受害案例。经360溯源分析确认相关LockBit变种是通过先前感染过的僵尸网络渠道进行的联网下发，感染设备均无360防护。受害者包括企业与个人用户，相关僵尸网络具备内网渗透能力，一经发现需全员杀毒加固。

图5.360渗透痕迹记录功能发现并拦截僵尸网络感染行为

在1月23日LockBit变种版本的勒索赎金要求降低为300美元，

勒索软件流行态势报告

第8页

相比1月5日那一批500美元的赎金降低了40%。根据前一批500美元赎金的受害者反馈，第三方赎金中介打着解密或数据恢复幌子收取的成交金额是3700人民币。预计本批次的第三方中介的赎金费用在2300左右。由于受害金额无法立案，进一步杜绝了受害者尝试报警