什么是勒索软件?
勒索软件的简短定义隐藏在它的名字中,就像许多其他病毒一样。“勒索软件”是一种程序,它注入你的计算机,加密你的文件,然后要求你支付赎金以恢复你的文件。一些勒索软件示例可能会威胁受害者,如果不支付赎金,就删除他们的文件或发布敏感数据。虽然第一个威胁是100%的谎言,但第二个论点可能是真实的,因为勒索软件通常与间谍软件或信息窃取程序一起传播。
对于每个受害者,勒索软件都会生成一个唯一的在线密钥。此密钥存储在网络犯罪分子维护的服务器上。如果病毒无法连接到该服务器,它会使用存储在加密机器本地的离线密钥加密文件。离线密钥的数量是有限的。因此,你可能与许多其他受害者拥有共同的解密密钥。
不幸的是,没有100%的保证能恢复你的文件。 如果你很幸运,勒索软件使用了离线密钥,你可以更快地解密数据。尽管如此,获取密钥非常耗时,你可能需要等待数周。一旦分析师找到密钥,用于文件解密的解密应用程序将收到与你匹配的密钥更新。
在线密钥更难破解。由于每个密钥都是唯一的,你可能需要等待数月。勒索软件分发者可能会被抓获,并被迫披露他们在服务器上拥有的所有密钥。所有密钥向公众发布的另一种情况是勒索软件创建者决定停止其恶意活动。这种情况只发生过一次——在2018年,GandCrab的开发者声称他们赚了20亿美元并暂停了活动。
2025年勒索软件:统计数据与概览
2025年的勒索软件威胁形势在复杂性和影响方面达到了前所未有的水平。根据对2025年1月至9月事件的全面分析,网络安全界正在目睹勒索软件攻击频率和严重程度的急剧升级。
关键统计数据(2025年1月–9月)
- 全球报告了4,701起事件(与2024年同期相比增加46%)
- 2,332起攻击(50%)针对关键基础设施(同比增长34%)
- 美国占全球所有案件的21%,其次是加拿大(8%)和英国(6%)
- 200万美元平均赎金要求(从2023年的40万美元增加)
- 153万美元平均恢复成本,不包括赎金支付(自2024年以来减少44%)
- 仅40%的受害者涉及执法部门(从2024年的52%下降)
- 49%的数据被加密的受害者支付了赎金(从2024年的70%下降)
2025年关键趋势
勒索软件生态系统在2025年发生了显著演变,威胁行为者采用了越来越激进和技术先进的策略。以下是塑造当前威胁形势的最重要趋势:
| 趋势 | 详情 |
|---|---|
| 针对关键基础设施的攻击 | 制造业的攻击增加了+61%,医疗保健、能源、交通和金融也经历了显著增长。由于运营紧迫性和更高的支付意愿,这些行业是首选目标。 |
| 加速加密 | 从初始入侵到勒索软件部署的中位时间已降至仅5天(之前为11天)。一些组织在获得访问权限后的几小时内就能加密系统。 |
| 三重勒索 | 87%的攻击现在结合了数据加密与泄露威胁、DDoS攻击以及通过电话和短信直接骚扰员工及其家人。 |
| AI增强攻击 | 像Black Basta和FunkSec这样的组织正在利用大型语言模型(LLM)生成复杂的网络钓鱼邮件并自动化漏洞开发,使攻击更具说服力且更难检测。 |
| 供应链利用 | Clop勒索软件组织利用了Oracle E-Business Suite中的零日漏洞,通过供应链入侵影响了包括Cox Enterprises和Dartmouth College在内的大型组织。 |
| 合法工具武器化 | 像TeamViewer和AnyDesk这样的远程监控和管理(RMM)工具正被滥用于同时进行物理货物盗窃和勒索软件部署,绕过传统的安全控制。 |
| 赎金支付下降 | 2025年,只有49%的数据被加密的受害者选择支付赎金,低于2024年的70%,因为组织采取了更好的备份策略并拒绝资助犯罪企业。 |
中位停留时间
5天
从初始入侵到加密的时间。
双重勒索
87%
涉及数据盗窃和加密的攻击。
三重勒索
29%
增加DDoS攻击或客户骚扰。
平均要求
273万美元
从2025年初的200万美元显著增加。
响应窗口
4分钟
加密和勒索信之间的延迟。
数据泄露
1.2 TB
不到3小时内被盗的敏感数据。
攻击策略与入侵载体
了解勒索软件运营商如何获得初始访问权限并执行攻击对于制定有效的防御措施至关重要。2025年,攻击者正在采用复杂的技术利用和社会工程混合手段。
主要入侵载体
- 32% — 漏洞利用(未修补的VPN设备,过时的内容管理系统)
- 23% — 被盗凭证(通过信息窃取程序和网络钓鱼活动获得)
- 18% — 网络钓鱼邮件(从2024年的11%上升,反映了AI生成的改进内容)
- Living-off-the-Land (LotL) 技术 — 滥用Windows内置实用程序和BYOVD(自带易受攻击的驱动程序)来禁用端点检测和响应(EDR)解决方案
- 合法工具攻击 — 利用RMM解决方案和云存储服务(OneDrive, Dropbox)在没有传统恶意软件二进制文件的情况下部署勒索软件
2025年采用的高级策略
| 策略 | 描述 | 威胁组织 |
|---|---|---|
| 企业ERP零日漏洞利用 | 针对Oracle E-Business Suite和其他企业资源规划系统中的漏洞,以破坏整个企业网络并泄露敏感数据。 | Clop |
| AI语音克隆语音钓鱼 | 使用合成语音生成模仿IT支持人员的电话,说服员工提供多因素认证(MFA)代码和凭证。 | Scattered Spider |
| AI增强的网络钓鱼活动 | 使用类似ChatGPT的服务生成高度个性化和上下文相关的网络钓鱼邮件和恶意附件,大大提高了成功率。 | Black Basta, FunkSec |
| DDoS勒索 | 针对受害者基础设施的同时分布式拒绝服务攻击,以在加密事件期间增加压力并加速赎金支付。 | LockBit 4.0 |
| 员工骚扰 | 通过短信和电话直接威胁员工及其家人,发布家庭住址和其他个人信息以胁迫组织付款。 | 多个组织 |
2025年重大勒索软件事件
2025年发生了几起备受瞩目的勒索软件攻击,影响了全球的关键基础设施、医疗系统、教育机构和大型公司。以下时间表突出了最重要的事件:
| 日期 | 组织 / 国家 | 威胁组织 | 影响与赎金要求 |
|---|---|---|---|
| 1月24日 | Big Cheese Studio (波兰) | 0mid16B | 源代码泄露,赎金要求2.5万美元 |
| 1月27日 – 2月6日 | Episource LLC (美国) | 未披露 | 540万份医疗记录泄露;受保护健康信息(PHI)违规 |
| 1月 | Sunflower Medical Group (美国) | Rhysida | 220,968份患者医疗档案被盗;赎金80万美元 |
| 1月 | 土地登记处 (斯洛伐克) | 未披露 | 房地产交易瘫痪2周 |
| 1月 | DEphoto (英国) | 0mid16B | 555,000名客户 + 16,000张支付卡被盗;儿童照片泄露 |
| 3月23日 | 吉隆坡国际机场 (马来西亚) | Qilin | 行李和登机系统离线超过10小时;赎金要求1000万美元 |
| 4月 | NASCAR (美国) | Medusa | 粉丝社会安全号码泄露;赎金400万美元 |
| 4月 | DaVita Healthcare (美国) | Interlock | 20 TB数据被盗,影响270万患者;损失1350万美元 |
| 7月 | Ingram Micro (全球) | SafePay | 3.5 TB客户数据泄露;每天停机损失1.36亿美元收入 |
| 8月 | 马里兰州交通管理局 (美国) | Rhysida | 员工个人信息泄露;要求30 BTC(340万美元) |
| 11月26日 | OnSolve / CodeRED (美国) | Inc | 12个以上州的紧急警报系统受损;联系信息泄露 |
| 11月28日 | Asahi (日本) | Qilin | 150万客户受影响;啤酒厂运营停止 |
| 11月28日 | Upbit (韩国) | Lazarus | 3040万美元加密货币被盗 |
| 12月 | PowerSchool (美国) | 未披露 | 6200万学生记录受损;针对学区的重复勒索企图 |
地理与行业分布
2025年的勒索软件攻击继续显示出明显的地理和行业模式,某些地区和行业承受着不成比例的风险。
地理分布(2025年1月–9月)
| 地区 | 全球事件份额 | 受攻击最多的行业 |
|---|---|---|
| 北美 | 46% | 制造业,医疗保健,教育 |
| 欧洲 | 24% | 专业服务,零售,政府 |
| 亚太地区 | 10% | 金融,物流 |
| 中东与非洲 | 4% | 能源,政府 |
受攻击最多的行业
- 制造业 — 660起攻击
- 房地产 — 553起攻击
- 专业服务 — 487起攻击
- 医疗保健 — 由于运营的关键性质显著增加
- 能源与交通 — 关键基础设施目标
现代勒索软件攻击阶段 – 2025
勒索软件攻击生命周期已显著演变。现代威胁行为者以军事般的精确度运作,遵循安全团队可以追踪和破坏的结构化时间表。了解这些阶段对于实施有效的防御措施至关重要。
阶段 0 – 目标获取
在任何技术攻击开始之前,威胁行为者会进行广泛的侦察和目标选择:
- AI驱动的侦察: 自动化扫描工具按“支付得分”对潜在目标进行排名——根据公共财务数据和违规历史分析公司收入、网络保险覆盖范围、关键运营和支付可能性。
- 访问获取: 从暗网市场上的初始访问经纪人(IAB)购买受损的VPN凭证、Outlook Web Access (OWA) 账户、Citrix网关或零日漏洞。
阶段 1 – 初始立足点
在目标环境中建立持久存在:
- 交付载体: 网络钓鱼活动、SEO投毒的虚假软件更新、邮寄的USB驱动器或直接利用面向互联网的漏洞。
- 执行技术: Living-off-the-land (LOLBAS) 二进制文件、PowerShell混淆、被滥用于恶意目的的合法系统工具。植入物是轻量级加载器以避免检测。
- 持久性机制: 计划任务、组策略对象(GPO)、云自动化运行手册或WMI事件订阅,以便在重启后存活并保持访问。
阶段 2 – 内部扩展
2025年的中位停留时间仅为5天,从初始访问到加密部署:
- 命令与控制 (C2): 具有CDN前端的HTTPS流量、通过合法云服务(Azure, CloudFlare)的域前置或边缘计算资源以混入正常流量。
- 发现操作: Active Directory映射、备份系统清单(对破坏至关重要)、云IAM侦察和高价值数据存储库识别。
- 特权提升: Kerberoasting攻击、利用Active Directory证书服务(ADCS)、令牌重放攻击或零日特权提升漏洞。
- 横向移动: RDP连接、PowerShell远程处理(PS-Remoting)或武器化的远程监控和管理(RMM)工具,如TeamViewer、AnyDesk和ScreenConnect。
阶段 3 – 影响前准备
旨在确保最大损害并阻止恢复的关键破坏阶段:
- 数据泄露: 使用Rclone、Mega.nz、IPFS或自定义工具,攻击者在不到3小时内平均泄露1.2 TB的敏感数据。这些数据成为双重勒索的筹码。
- 防御破坏: 攻击者通过删除卷影副本(VSS)、擦除VMware ESXi快照和破坏备份目录来系统地拆除恢复选项。他们还使用“自带易受攻击的驱动程序”(BYOVD)技术主动禁用端点检测和响应(EDR)代理,以便在最终打击前使安全团队失明。
阶段 4 – 勒索
发出赎金要求的最终影响阶段:
- 快速加密: 使用ChaCha20 + RSA算法的预准备加密密钥在不到60秒内部署到整个网络。现代勒索软件可以在4.5分钟内加密220,000个文件。
- 三重勒索模型(2025年29%的攻击):除了传统的解密密钥赎金外,攻击者现在还通过威胁在泄露网站上发布被盗数据(双重勒索)和对受害者的公共基础设施发动分布式拒绝服务(DDoS)攻击(三重勒索)来增加额外压力,以强制付款。
- 激进的施压策略: 实时倒计时器、向客户和合作伙伴发送垃圾邮件、使用AI克隆声音对高管进行语音威胁、直接联系受害者的客户威胁数据泄露。
- 加密-信件延迟: 加密完成和赎金信交付之间平均4分钟,留下的响应窗口极小。
SOC团队的关键狩猎触发器
安全运营中心应监控这些勒索软件活动的高保真指标:
- JA3 TLS指纹异常: 到新注册域名(少于24小时)的SSL/TLS连接,特别是具有不寻常的密码套件。
- 可疑的LDAP查询: 来自非管理工作站的
adminCount=1(特权账户)的LDAP查询——表明特权提升目标的侦察。 - Rclone.exe执行: 由SYSTEM生成或使用可疑命令行参数运行的合法云同步工具Rclone——常见的数据泄露工具。
- 高熵文件操作: 熵高于0.96(表明加密)的文件写入操作在5分钟内影响超过100个网络共享——明确的勒索软件加密活动。
- VSS删除命令: 执行
vssadmin delete shadows、wmic shadowcopy delete或bcdedit /set {default} recoveryenabled no。 - RMM工具滥用: 从系统账户或在非工作时间意外安装或执行AnyDesk、TeamViewer、ScreenConnect。
勒索软件类型
勒索软件已演变为几个不同的类别,每个类别都有独特的行为和勒索方法。了解这些类型对于识别威胁至关重要:
1. Crypto Ransomware(加密器)
加密器是现代威胁形势中最普遍和最具破坏性的变体。这种类型渗透系统并使用军用级加密算法(如AES-256或RSA-2048)加密有价值的文件(文档、照片、数据库)。如果没有攻击者持有的唯一解密密钥,内容将完全无法访问。示例包括LockBit、Ryuk和WannaCry。
2. Lockers(锁屏器)
锁屏器不加密特定文件,而是完全将你锁定在操作系统或用户界面之外。会显示全屏赎金信,通常带有倒计时器以制造紧迫感。虽然你的文件在技术上保持完好,但在系统解锁之前无法访问。这种类型在早期的勒索软件浪潮中更为常见,但仍出现在移动恶意软件中。
3. Scareware(恐吓软件)
恐吓软件是一种伪装成合法安全工具的欺骗性软件。它声称在你的计算机上检测到了不存在的病毒或关键问题,并用弹出警报积极轰炸你。它要求支付“完整版”费用以修复这些虚假问题。一些激进的恐吓软件可能会锁定计算机,而其他软件只是通过烦扰用户来让他们付款。
4. Doxware或Leakware(泄露软件)
泄露软件(也称为Doxware)利用数据泄露的威胁而不是数据丢失。攻击者泄露敏感的个人或公司信息,并威胁要在暗网上发布或出售这些信息,除非支付赎金。这种策略对具有严格合规要求(GDPR, HIPAA)的公司或拥有敏感私人数据的个人特别有效。一种变体是警察主题的勒索软件,它冒充执法部门指控受害者从事非法活动,并要求支付“罚款”以避免逮捕。
5. RaaS(勒索软件即服务)
勒索软件即服务 (RaaS)不是一种恶意软件类型,而是一种为现代勒索软件经济提供动力的商业模式。专业的开发人员创建勒索软件毒株和支付基础设施,然后将其出租给“附属公司”(技能较低的黑客),后者进行实际攻击。利润被分成,附属公司通常保留70-80%,开发人员拿走其余部分。这种模式通过降低网络犯罪分子的进入门槛,导致了勒索软件攻击的激增。
最新勒索软件攻击
- Dire Wolf (.direwolf) Ransomware Virus - Removal and Decryption
- PE32 Ransomware
- VerdaCrypt Ransomware
- D0glun Ransomware: Analysis and Protection Guide
- Moscovium Ransomware
- Fox Ransomware
- Lucky Ransomware (MedusaLocker)
- CipherLocker Ransomware
2025年活跃的勒索软件家族
以下勒索软件组织在2025年仍然非常活跃,对全球组织的攻击负有主要责任:
- LockBit 4.0 — 尽管2024年受到执法部门的干扰,LockBit以4.0版本卷土重来,结合了DDoS勒索策略和更快的加密速度。它仍然是最多产的勒索软件即服务(RaaS)行动之一,对2025年的多起关键基础设施攻击负责。
- Qilin (Agenda) — 针对关键基础设施(包括机场和医疗保健)的高度复杂组织。对吉隆坡机场攻击(2025年3月,1000万美元要求)和Asahi啤酒厂停产(2025年11月)负责。使用基于Rust的加密并专注于高价值企业目标。
- Rhysida — 针对医疗保健、教育和政府部门的活跃RaaS行动。2025年的著名攻击包括Sunflower Medical Group(220,968份患者记录)和马里兰州交通管理局(30 BTC/340万美元赎金)。以三重勒索和数据泄露网站运营而闻名。
- Black Basta — 从Conti的解体中出现,利用使用大型语言模型(LLM)的AI增强网络钓鱼活动来创建令人信服的社会工程攻击。专注于具有快速部署时间和复杂渗透方法的企业目标。
- Akira — 2025年最活跃的组织之一,利用VPN漏洞并针对制造业、医疗保健和金融部门。使用双重勒索策略并维护活跃的泄露网站。以针对Cisco VPN和Citrix漏洞而闻名。
- Medusa — 对2025年的重大攻击负责,包括NASCAR(SSN数据泄露,400万美元赎金)。运营具有附属合作伙伴关系的RaaS模型。以积极的多阶段勒索而闻名,包括直接联系受害者的客户和合作伙伴。
- Play — 针对关键基础设施和大型企业,使用间歇性加密技术来避免检测。整个2025年都很活跃,攻击了政府机构和教育机构。使用带有专用泄露网站的双重勒索。
- Cl0p (Clop) — 供应链和零日漏洞利用专家,特别针对文件传输应用程序和企业ERP系统。对影响Cox Enterprises和Dartmouth College的Oracle E-Business Suite活动负责。大规模利用策略的先驱,以获得最大受害者数量。
- ALPHV/BlackCat — 基于Rust的勒索软件,以其灵活性和跨平台能力(Windows, Linux, ESXi)而闻名。尽管FBI试图破坏,仍继续运营。使用三重勒索,包括致电受害者的客户和合作伙伴。以其复杂的附属计划而闻名。
- Interlock — 对DaVita Healthcare攻击(2025年4月,270万患者,1350万美元损失)负责。针对医疗保健和关键服务,具有快速加密和加密部署前的全面数据泄露。
- RansomHub — 快速增长的RaaS行动,吸引了来自已关闭行动的附属公司。以快速加密和跨平台支持而闻名。针对所有行业的组织,重点是在加密前泄露数据。
- Fog (Akira变体) — 使用被利用的SonicWall VPN进行初始访问。针对教育和医疗保健部门。使用带有专用泄露基础设施的双重勒索。与Akira行动有关,但独立运作。
- Scattered Spider (0ktapus) — 使用AI生成的deepfake声音进行语音钓鱼以绕过MFA的复杂组织。针对身份提供商、电信和外包公司。以其在社会工程和“vishing”活动方面的专业知识而闻名。
- 8Base — 整个2025年极其活跃,针对中小型企业。使用带有专用泄露网站的双重勒索。据信与REvil基础设施有联系。专注于针对受保护较少组织的快速攻击。
- Cactus — 使用被盗的VPN凭证并利用Fortinet漏洞进行初始访问。针对制造业、金融服务和技术部门。采用复杂的加密和通过SSH隧道进行独特的数据泄露方法。
已灭绝的行动: Conti(2022年中解散)、Avaddon(2021年5月关闭)、Egregor(2021年停止)和Hive(2023年被FBI查封)不再活跃,尽管它们的技术和成员已迁移到上述较新的行动中。
Read also: PE32 Ransomware
支付赎金是解决方案吗?
勒索软件开发者收到的大部分收入用于资助各种非法活动,如恐怖主义、其他恶意软件分发活动、毒品贩运等。由于所有赎金支付都是通过加密货币进行的,因此无法找出骗子的身份。然而,电子邮件地址有时可能指向中东的勒索软件分发者。
正如你已经可以得出的结论,支付赎金等于参与非法活动。当然,没有人会指责你资助恐怖主义。但明白你通过诚实工作赚来的钱被花在恐怖主义或毒品上一点也不令人愉快。通常,即使是被威胁公布一些内部数据的大型公司也不会给这些骗子一分钱。
如何在2025年防范勒索软件?
不断演变的勒索软件威胁形势需要多层防御策略。根据对2025年攻击的分析,组织和个人应实施以下综合保护措施:
基本安全控制
- 零信任架构与网络分段: 实施零信任安全模型,验证每个访问请求,无论来源如何。对关键系统和数据进行分段,以限制攻击者突破边界后的横向移动。
- 所有远程访问的多因素认证 (MFA): 要求所有VPN、远程桌面协议 (RDP) 连接和远程监控与管理 (RMM) 工具使用MFA。这可以防止占勒索软件事件23%的基于凭证的攻击。
- 及时补丁管理: 优先修补面向互联网的系统,包括VPN设备、企业ERP系统(Oracle E-Business Suite, SAP)和内容管理平台。32%的攻击利用未修补的漏洞。
- 季度备份测试: 在隔离环境中定期测试备份恢复程序。确保备份存储在离线或不可变存储中,以防止勒索软件对其进行加密。验证恢复时间目标(RTO)是否符合业务要求。
- 端点检测与响应 (EDR): 部署能够检测Living-off-the-Land (LotL) 技术和试图禁用安全控制的BYOVD(自带易受攻击的驱动程序)攻击的高级EDR解决方案。
2025年威胁意识培训
- AI生成的网络钓鱼识别: 培训员工识别由大型语言模型(LLM)制作的复杂网络钓鱼企图。强调验证意外请求,即使电子邮件看起来写得很专业且上下文相关。
- 语音通话验证协议: 建立程序,要求员工通过独立渠道验证声称来自IT支持的语音通话。AI语音克隆使基于电话的社会工程越来越令人信服。
- 宏和附件谨慎: 继续加强对电子邮件附件的认识,特别是要求启用宏的Microsoft Office文件。尽管是传统载体,电子邮件仍然是主要的攻击入口点(18%的事件)。
高级保护措施
- 禁用不必要的RDP暴露: 关闭外部RDP端口,并在允许远程桌面连接之前要求VPN访问。监控并限制仅必要人员使用RDP。
- 应用程序白名单: 实施应用程序控制策略,仅允许执行批准的软件,防止未经授权的勒索软件二进制文件运行。
- 电子邮件安全网关: 部署高级电子邮件过滤,可以检测AI生成的网络钓鱼内容,并在投递到用户收件箱之前沙箱化可疑附件。
- 事件响应计划: 专门针对勒索软件场景制定并定期测试事件响应计划。包括隔离受感染系统、激活备份以及让执法部门和网络安全专家参与的程序。
反恶意软件保护
通常,反恶意软件程序每天更新其检测数据库。GridinSoft Anti-Malware 可以提供每小时更新,这减少了全新勒索软件样本渗透系统的机会。然而,使用反恶意软件并不是万能药。如果你在所有危险的地方都小心谨慎会更好。这些是:
- 电子邮件消息。 大多数勒索软件案例,无论家族如何,都与恶意电子邮件消息有关。人们通常信任通过电子邮件发送的所有消息,并不认为附件文件中可能有什么恶意的东西。与此同时,网络犯罪分子利用这一弱点,诱使人们在Microsoft Office文件中启用宏。宏是一个特定的应用程序,允许增加与文档的交互。你可以在Visual Basic上构建任何东西并将其作为宏添加到文档中。骗子不假思索地添加勒索软件代码。
- 可疑的实用程序和不可信的程序。 你在浏览网页时可能会看到各种建议。在线论坛、社交网络和共享网络——这些地方被称为各种特定工具的来源。这种软件并没有什么错——有时人们需要那些企业生产不需要(或不接受)的功能。这些工具是各种应用程序的所谓注册机、许可证密钥激活器(KMS Activator是最著名的之一)和用于调整系统元素的实用程序。大多数反恶意软件引擎将这些应用程序检测为恶意软件,因此你可能会禁用防病毒软件或将应用程序列入白名单。与此同时,此实用程序可能是干净的,也可能感染了特洛伊木马或勒索软件。
常问问题
什么是勒索软件,它在2025年如何运作?
勒索软件是一种恶意软件,它加密受害者设备上的文件并要求支付赎金以获取解密密钥。2025年,勒索软件已演变为包括三重勒索策略(加密+数据盗窃+DDoS攻击)、AI增强的网络钓鱼和更快的部署时间(从入侵到加密的中位时间为5天)。现代勒索软件使用AES-256或RSA-2048加密,为每个受害者生成唯一的在线密钥,如果没有攻击者的解密密钥,几乎无法破解。
勒索软件可以通过Wi-Fi或网络连接传播吗?
是的,勒索软件可以通过网络连接传播,尽管不是通过Wi-Fi本身。在企业环境中,攻击者获得管理员权限并同时在连接到网络的所有计算机上部署勒索软件。恶意软件通过共享网络目录传播并利用横向移动技术。然而,家庭用户通常不会被感染,除非他们首先通过网络钓鱼、恶意下载或被利用的漏洞允许攻击者访问他们的设备。
如果我的文件被加密,我应该支付赎金吗?
安全专家和执法部门强烈建议不要支付赎金。2025年,只有49%的受害者支付了赎金(低于2024年的70%),因为他们认识到支付并不能保证文件恢复,并且会资助犯罪活动,包括恐怖主义和毒品贩运。此外,支付赎金会将您标记为未来攻击的有利可图的目标。相反,应向执法部门报告事件,咨询网络安全专业人员,并尝试从备份中恢复。拥有适当备份策略的组织可以在不支付费用的情况下恢复,平均恢复成本为153万美元,而平均赎金要求为200万美元。
2025年勒索软件感染系统的最常见方式是什么?
2025年,主要的感染载体是:(1)漏洞利用(32%的攻击),针对未修补的VPN设备、过时的CMS和像Oracle E-Business Suite这样的ERP系统;(2)被盗凭证(23%),通过信息窃取程序和网络钓鱼获得;(3)网络钓鱼邮件(18%,高于2024年的11%),使用看起来非常合法的AI生成内容;(4)利用软件供应商和托管服务提供商的供应链攻击;(5)将TeamViewer和AnyDesk等合法RMM工具武器化。现代攻击还采用带有AI语音克隆的语音钓鱼来诱骗员工提供MFA代码。
如何在2025年保护我的电脑免受勒索软件侵害?
基本的保护措施包括:(1)实施零信任架构和网络分段以限制横向移动;(2)在所有VPN、RDP和RMM接入点上启用多因素认证(MFA);(3)保持及时的补丁管理,特别是对于面向互联网的系统和ERP平台;(4)进行季度备份测试,使用离线或不可变存储;(5)部署能够检测living-off-the-land技术的端点检测与响应(EDR)解决方案;(6)培训员工识别AI生成的网络钓鱼,并建立语音通话验证协议以对抗deepfake攻击;(7)禁用不必要的RDP暴露并使用应用程序白名单;(8)如果可能,保持反恶意软件每小时更新签名。
勒索软件是犯罪吗?我应该向当局报告吗?
是的,勒索软件是严重的网络犯罪,受联邦和州法律惩罚。创建、分发勒索软件和收取赎金均构成刑事犯罪。您应该向执法部门报告勒索软件攻击,尽管2025年只有40%的受害者这样做(低于2024年的52%)。在美国,向FBI的互联网犯罪投诉中心(IC3)或当地FBI办事处报告。您也可以联系网络安全和基础设施安全局(CISA)。国际受害者应联系其国家的网络犯罪部门。报告有助于执法部门追踪威胁行为者,可能恢复解密密钥,并破坏犯罪活动。
现代Windows系统容易受到勒索软件攻击吗?
所有版本的Windows仍然容易受到勒索软件攻击,尽管Windows 11包含增强的安全功能,如强化的Windows Defender、基于硬件的隔离和敏感系统组件中的改进安全性。然而,勒索软件开发者不断改进他们的策略。2025年,47%的Windows用户遇到了广告软件或潜在有害程序,勒索软件攻击同比增加了46%。漏洞通常源于用户行为(点击网络钓鱼链接、启用宏)、未修补的系统(32%的攻击利用漏洞)和被盗凭证(23%的攻击),而不是Windows固有的弱点。没有操作系统是免疫的——适当的安全实践和纵深防御至关重要。
什么是三重勒索软件?
三重勒索软件在2025年的87%攻击中普遍存在,结合了三种施压策略:(1)传统的文件加密,要求赎金以解密;(2)数据泄露,威胁在泄露网站上发布被盗的敏感信息;(3)额外的攻击,如对公司基础设施的DDoS洪水攻击、对员工及其家人的电话骚扰或短信威胁。一些组织还要求为造成的运营停机支付“业务中断赔偿”。这种多管齐下的方法增加了受害者支付的压力,并已被证明对威胁行为者非常有效,尽管随着组织改进备份策略和弹性,支付率并未增加。
被勒索软件加密的文件可以免费解密吗?
有时可以,但没有保证。如果满足以下条件,免费解密是可能的:(1)勒索软件使用了离线加密密钥(在多个受害者之间共享),安全研究人员最终可能会破解;(2)执法部门逮捕操作员并从其服务器中查获解密密钥;(3)勒索软件团伙自愿发布密钥(罕见,如2018年的GandCrab);(4)安全研究人员发现加密实施中的缺陷。然而,使用AES-256或RSA-2048加密的唯一在线密钥的现代勒索软件如果没有攻击者的密钥几乎是无法破解的。查看像No More Ransom项目这样的资源以获取可用的解密器。等待解密密钥的时间可能从几周到几个月甚至永远,这使得预防和备份策略比希望免费解密要可靠得多。
2025年最大的勒索软件攻击有哪些?
2025年的重大事件包括:PowerSchool(12月)影响6200万学生记录,并伴有重复勒索企图;Upbit(11月)被Lazarus组织盗窃3040万美元加密货币;Asahi啤酒厂(11月)影响150万客户并停止运营;OnSolve/CodeRED(11月)破坏了12个以上美国州的紧急警报系统;马里兰州交通管理局(8月)被要求30 BTC(340万美元);Ingram Micro(7月)因3.5 TB数据泄露每天损失1.36亿美元收入;DaVita Healthcare(4月)影响270万患者,损失1350万美元;NASCAR(4月)泄露粉丝社会安全号码,赎金400万美元;吉隆坡机场(3月)停机超过10小时,要求1000万美元。这些事件表明勒索软件正向关键基础设施和高价值目标演变。
References
- Industrial Cyber / KELA: Global Ransomware Attacks Against Critical Industries Surge 34% in 2025 (October 22, 2025)
- Bright Defense (DeepStrike): Ransomware Statistics 2025 - Key Trends & Costs (October 6, 2025)
- Exabeam: Top Ransomware Statistics and Trends for 2025 (September 2025)
- NordLayer: 8 Biggest Ransomware Attacks of 2025 (October 2025)
- PKWARE: Data Breaches and Ransomware Attacks 2025 (November 2025)
- Commvault: Ransomware Trends 2026