2026年1月 勒索软件 流行态势报告 三六零数字安全科技集团|安全能力中心反病毒部勒索软件流行态势报告 三六零数字安全科技集团|安全能力中心反病毒部 第1页勒索软件传播至今，360反勒索服务已累计接收到数万例勒索软件 感染求助。随着新型勒索软件的快速蔓延，企业数据泄漏风险不断上 升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给 企业和个人带来的影响范围越来越广，危害性也越来越大。360全网 安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用 户提供360反勒索服务。 2026年1月，全球新增的双重勒索软件有BravoX、ClearWater、 Vect、GreenBlood家族，传统勒索软件家族新增Milkyway、RahidsL ocker、GrandMonty、PurpleCryptr等多个家族。 本月在国内持续热门的勒索家族Weaxor家族新增了一个分支变 种，主流加密后缀变更为.xr，攻击方式依旧是利用Web漏洞发起攻击 并通过注入系统进程轮询加载漏洞驱动，与安全软件做内核对抗。 本月出现了一个名为0APT的勒索软件组织，但实际上是一个诈骗 团伙。该组织利用AI生成的虚假受害公司对外发布信息，并夹杂少量 真实的受害公司，以制造看似真实的假象。目前该组织开始招募所谓 的“黑帽黑客”，但其真实目的并不是组织勒索攻击，而是诈骗并窃 取被招募者的比特币。此案例佐证了一个长期存在的现实：网络诈骗 攻击不只面向普通民众，同样广泛针对安全分析人员、黑产从业者、I T管理员等传统意义上的所谓的技术认知强的目标群体。勒索软件流行态势报告 三六零数字安全科技集团|安全能力中心反病毒部 第2页以下是本月值得关注的部分热点： 1LockBit变种两度利用僵尸网络下发 2MiddCrypto勒索软件利用国内全实名平台链路进行投毒 3Nike在勒索团伙公布文件后调查数据泄露事件 基于对360反勒索服务数据的分析研判，360数字安全集团高级 威胁研究分析中心（CCTGA勒索软件防范应对工作组成员）发布本报 告。勒索软件流行态势报告 三六零数字安全科技集团|安全能力中心反病毒部 第3页安全软件占比分析 360反勒索服务已经存在十年以上，并长期致力于服务来自全网 的勒索病毒攻击的响应、分析、处置、攻防、预警、解密工作。自20 26年1月起，新增安全软件占比统计，主要用于评估当前复杂网络攻 防态势下愈发严重的基线安全问题，为勒索相关的攻击事件提供接近 真实维度的数据。 本月的勒索反馈中未装安全软件的占比达到70%，而未正常启用 360安全软件的设备数量则占比12%，安装了其他安全软件的设备则占 比18%。在溯源分析中发现，所有安装了360安全软件的反馈设备均 未开启相关防护，尚未发现绕过360多维防御体系的勒索攻击。 图1.2026年1月勒索软件中招设备中安装的安全软件占比勒索软件流行态势报告 三六零数字安全科技集团|安全能力中心反病毒部 第4页感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家 族占比38.55%居首位，第二的是LockBit占比21.69%，Wmansvcs家 族以16.47%占比位居第三。 图2.2026年1月勒索软件家族占比勒索软件流行态势报告 三六零数字安全科技集团|安全能力中心反病毒部 第5页对本月受害者所使用的操作系统进行统计，位居前三的是： Windows10、Windows11以及WindowsServer2012。 图3.2026年1月勒索软件入侵操作系统占比勒索软件流行态势报告 三六零数字安全科技集团|安全能力中心反病毒部 第6页2026年1月被感染的系统中桌面系统和服务器系统占比显示，受 攻击的系统类型桌面PC大幅领先服务器，Nas平台攻击行为有所增加。 图4.2026年1月勒索软件入侵操作系统类型占比勒索软件流行态势报告 三六零数字安全科技集团|安全能力中心反病毒部 第7页勒索软件热点事件 LockBit变种两度利用僵尸网络下发 360反勒索服务在1月5日与1月23日分别接到数十例LockBit 家族变种感染的集中反馈，在一些社交媒体平台也会看到同期LockBit 家族相关的受害案例。经360溯源分析确认相关LockBit变种是通过 先前感染过的僵尸网络渠道进行的联网下发，感染设备均无360防护。 受害者包括企业与个人用户，相关僵尸网络具备内网渗透能力，一经 发现需全员杀毒加固。 图5.360渗透痕迹记录功能发现并拦截僵尸网络感染行为 在1月23日LockBit变种版本的勒索赎金要求降低为300美元，