勒索软件流行态势分析 2025年5月 三六零数字安全科技集团 | 高级威胁研究分析中心 360数字安全 ——数字安全的领导者 第 1 页 勒索软件传播至今， 360反勒索服务已累计接收到数万次勒索软件感染求助。随着 新型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到上亿美元 的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害也越来越 大。360全网安全大脑针对勒索软件进行了全方位监测与防御，为需要帮助的用户提供 360反勒索服务。 2025年5月，全球新增的双重勒索软件 有J、Datacarry 、Worldleaks 等多个新增 家族。传统勒索软件家族新增 Bert、Kalxat家族。 本月360反勒索服务团队接到 数起关于Kalxat勒索软件攻击的反馈。 经分析发现， 这种新型勒索软件拥有非常高效的文件加密机制，并可以多级动态调整加密策略，具备 大量配置与扩展属性，属于新一代的先进勒索软件。根据受害者反馈， Kalxat会在系统 中悄然加密各类文件，并将其扩展名修改为 “.kalxat”，同时留下勒索信息，要求支付 赎金以获取解密工具。 在入侵传播方面， Kalxat则表现出了明显的定向攻击特征。该勒索软件主要针对 Windows服务器发起攻击。 其加密策略也是针对服务器上的关键数据 ——如数据库文件， 进行完整的全量加密。而对于其他非关键文件，其采用部分加密策略，以加快整体加密 速度。 此外， 该勒索软件还会执行一系列系统操作， 包括大量修改注册表项、 禁用 Windows Defender 、清除系统事件日志和安全日志等，以规避安全检测并确保攻击成功。 Kalxat采用了高度模块化设计：勒索信内容、加密文件扩展名、 RSA公钥等关键参 数，均通过独立的配置文件进行配置。这也使攻击者可以轻松地为不同目标定制不同版 本进行攻击，同时也增加了安全研究人员的分析难度。这种设计使得 Kalxat具有较强 的变种生成能力， 各个攻击实例可能展现出不同的行为特征， 并且采用了双重 RSA架构。 这些操作表明， Kalxat是一款精心设计的、针对企业服务器环境的高级勒索软件。 360数字安全 ——数字安全的领导者 第 2 页 以下是本月值得关注的部分热点： VanHelsing 勒索软件生成器在黑客论坛上泄露 员工监控软件 Kickidler 在勒索攻击中被利用 勒索软件团伙越来越多地利用 Skitnet 投放恶意软件 基于对360反勒索服务数据的分析研 判，360数字安全集团高级威胁研究分析中心 (CCTGA勒索软件防范应对工作组成员）发布本报告。 360数字安全 ——数字安全的领导者 第 3 页 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计： Weaxor家族占比 28.27%居 首位，第二的是RNTC占比16.23%，BeijingCrypt 家族以10.47%占比位居第三。 图1. 2025年5月勒索软件家族占比 对本月受害者所使用的操作系统进行统计，位居前三的是： Windows 10 、Windows Server 20 12以及Windows 11。 图2. 2025年5月勒索软件入侵操作系统占比