黑料不打烊

什麼是勒索软体?

2025 年,勒索軟體已大幅超越簡單的檔案加密。網絡攻击者不仅拒絕存取您的數據 加密中 ,并要求 赎金支付用於解密密钥是一个核心策略,但如今的勒索软体功能远不止於此。网路攻击者现在 经常加入额外的 功能,例如资料窃取。这表示他们 不仅鎖定您的檔案,還會竊取敏感資訊。這種雙重威脅造成受害者支付贖金的更大壓力,因為他們不仅會面臨资料遺失,遭竊资料還有可能公開曝光或在暗網上出售。

勒索软体已迅速成為最 突出 以及可見的恶意软体类型。最近的勒索軟體攻击影響了醫院提供關鍵服务的能力,削弱了城市的公共服务,并對各種組織造成了重大損害。

网路安全报告

勒索軟體攻击 – 它是什麼以及它如何運作?

勒索軟體攻击為何層出不窮?

Ransomware reached record levels in 2025, with 7,960 victims listed on double?extortion leak sites—a 53% increase year?over?year. Activity peaked in both Q1 and again in Q4, driven largely by mass?exploitation campaigns, including Cl0p’s zero?day attacks that compromised hundreds of organizations early in the year. The collapse of several major RaaS groups reshaped the ecosystem, enabling Qilin to surge ahead as the most active operator, publishing over 1,000 victims and tripling its monthly volume.

The United States accounted for roughly 52% of all disclosed victims, far exceeding other regions. Attacks remained centered on commercial sectors, particularly business services, consumer goods & services, and industrial manufacturing. Overall, the ecosystem continued to expand and reorganize, demonstrating increasing resilience and aggression despite global enforcement efforts.

勒索软体如何运作

為了成功,勒索软体需要存取目标系统,加密其中的文件,并向受害者索取赎金。
虽然一种勒索软体变体的实施细节有所不同,但所有勒索软体变体都共享相同的核心叁个阶段

  • 第一步。感染和分佈载体

与任何恶意软体一样,勒索软体可以透过多种不同的方式存取组织的系统。然而,勒索软体操作者往往更喜欢一些特定的感染媒介。

其中之一是网路钓鱼电子邮件。恶意电子邮件可能包含託管恶意下载的网站的连结或内建下载器功能的附件。如果电子邮件收件者陷入网路钓鱼,则会下载勒索软体并在其电脑上执行。

另一種流行的勒索軟體感染媒介利用遠端桌面協定 (RDP) 等服务。透过 RDP,窃取或猜測員工登入憑證的攻击者可以使用這些憑證對企業網路內的電腦进行身份驗證并遠端存取。透过此存取權限,攻击者可以直接下載恶意软体并在其控制的電腦上執行它。

其他人可能會嘗試直接感染系統,例如 WannaCry 如何利用 EternalBlue 脆弱性。大多數勒索軟體變種都有多個感染媒介。

2025 年,勒索軟體攻击经常 利用组织第叁方供应商的脆弱性,将其视為较弱的入侵点。这通常始於遭竊的憑證或廠商系統中未修補的軟體,能讓攻击者獲得初步存取權限。從那裡開始,威脅行為者利用供應商與目標組織間的可信連結,橫向移動并部署勒索軟體,繞過主要公司的直接防禦。??

  • 步骤2.资料加密

?勒索軟體獲得系統存取權限後,它就可以開始加密其檔案。由於加密功能內建於作業系統中,這僅涉及存取檔案、使用攻击者控制的金鑰對其进行加密,以及用加密版本取代原始檔案。大多數勒索軟體變體在選擇要加密的檔案時都很謹慎,以確保系統穩定性。某些變體還會採取步驟删除文件的備份和陰影副本,以使沒有解密金鑰的恢復更加困難。

  • 第叁步赎金要求

文件加密完成後,勒索軟體就準備提出贖金要求。不同的勒索軟體變體以多種方式實現這一點,但將顯示背景更改為勒索字條或放置在包含勒索字條的每個加密目錄中的文字檔案的情況并不少見。通常,這些筆記需要一定數量的加密貨幣以換取訪問受害者的文件。 如果支付了贖金,勒索軟體業者將提供用於保護對稱加密金鑰的私鑰副本或對稱加密金鑰本身的副本。這些資訊可以輸入解密程式(也由網路犯罪分子提供),該程式可以使用它來反轉加密并恢復對使用者檔案的存取。

雖然這三個核心步驟存在於所有勒索軟體變體中,但不同的勒索軟體可能包含不同的實現或附加步驟。例如,Maze 等勒索軟體變種在资料加密之前執行檔案掃描、登錄資訊和资料窃取,而 WannaCry 勒索軟體會掃描其他易受攻击的裝置以进行感染和加密。

勒索軟體攻击的类型

勒索軟體攻击的类型

勒索軟體在過去幾年中已經顯著演變。一些重要的勒索軟體类型和相關威脅包括:

  • 双重勒索: 像 Maze 這樣的双重勒索勒索軟體結合了资料加密與资料窃取。此技術是因應組織拒絕支付贖金,而改從備份进行還原而開發的。透过竊取組織的资料,網路犯罪分子還可能威脅如果受害者不支付贖金,就會洩露這些资料。
  • 叁重勒索:三重勒索勒索軟體在双重勒索的基礎上增加了第三種勒索手段。通常這包括向受害者的客戶或合作伙伴勒索贖金,或對公司發動分散式阻斷服务 (DDoS) 攻击。
  • 档案加密勒索软体:档案加密勒索软体是一种不会加密受害者电脑上档案的勒索软体。它反而会锁定电脑,使受害者无法使用,直到支付赎金為止。
  • 加密勒索软体:加密勒索软体是勒索软体的另一个名称,强调勒索软体付款通常以加密货币支付。原因在於加密货币是数位货币,由於不受传统金融体系管理,因此较难追踪。
  • 擦除器 擦除器是一种与勒索软体相关但又有所不同的恶意软体。虽然它们可能使用相同的加密技术,但目标是永久禁止存取加密档案,这可能包括删除加密金钥的唯一副本。
  • 勒索軟體即服务(RaaS)RaaS 是一種恶意软体散佈模式,其中勒索軟體團夥為「附屬組織」提供其恶意软体的存取權。這些附屬組織會用恶意软体感染目標,并與勒索軟體開發者瓜分贖金。
  • 资料窃取勒索軟體:某些勒索軟體變體專注於资料竊盜,完全放棄资料加密。其中一個原因是加密可能耗時且容易侦测,讓組織有機會终止感染并保護部分檔案免於加密。

流行的勒索软体变种

存在数十种勒索软体变体,每种变体都有其独特的特徵。然而,一些勒索软体团体比其他勒索软体团体更加猖獗和成功,使他们脱颖而出。

1.Ransomhub?

2024 年 2 月出現的組織,透過吸引 ALPHV 等已解散組織的附屬組織迅速崛起,并 LockBit。儘管支付率低,但其高聯盟利潤分享模式 (90%) 驅使攻击激增,尤其是在 2024 年 7 月和 8 月,主要針對美國和巴西企業。 搁补苍蝉辞尘贬耻产’蝉 勒索軟體以 Golang 和 C++ 編寫,聞名的是 因其快速加密、使用 EDRKillShifter以及近期实施远端加密。 然而,在 2025 年 4 月 1 日, 搁补苍蝉辞尘贬耻产’蝉 停止營運,据报附屬公司轉移到 Qilin 和 DragonForce 声称拥有控制权,标誌着它在勒索软体领域中的消亡。?

2.Akira

Akira 是 2023 年第 1 季首次发现的勒索軟體變種同時針對 Windows 和使用 ChaCha2008 加密的 Linux 系統。它透過網路釣魚郵件和 VPN 脆弱性滲透系統,然後採用諸如以下策略: LOLBins和憑證轉移來逃避侦测和取得特權。Akira 利用 间歇性加密 以避開安全解决方案并删除阴影复製以阻碍还原。该团体也执行 僅以勒索為目的的攻击,窃取资料并要求贖金而不进行加密。Akira 要求高額贖金,主要針對北美、歐洲和澳洲的大型公司,特別是教育、金融、製造和医疗保健产业。為了減輕 Akira 攻击的影響,組織行號應實施網路安全意识培訓、反勒索软体解决方案、定期资料備份、修補管理、強化使用者驗證 (MFA),以及網路分段。

3. Play

Play Ransomware Group,也稱為 Play 或 Playcrypt,已 成為自 2022 年以來重要的網路犯罪實體,成功入侵全球超過 300 個組織,包括高知名度目標,如 古巴的 Microsoft、奧克蘭市和瑞士政府。此組織採用獨特的策略,例如 间歇性加密,它只加密檔案的選擇性部分,以逃避侦测,以及 双重勒索在此情況下,他們不仅會加密资料,而且還將其洩露,并威脅如果不支付贖金就會公開资料。Play 利用脆弱性 FortiOS和暴露的 RDP 伺服器进行初始 存取, 随后透过群组原则物件以排程任务的方式散佈勒索软体有效载荷。他们经营 Tor 部落格來宣傳攻击和竊取的 资料 ,迫使受害者合规。

4.Clop

Cl0p 是一種勒索軟體 即是 一种变体 Cryptomix 恶意软体。它是一種複雜的威脅,以勒索軟體即服务 (RaaS) 的方式運作,主要針對處理敏感资料的产业,如医疗保健和金融。它採用双重勒索策略,一方面加密资料,另一方面威脅如果不支付贖金,就會公開發佈竊取的資訊。Cl0p 的散布方式包括網路釣魚郵件及零時差脆弱性的利用,使其難以 預防。這款軟體勒索以數位簽章程式碼、高贖金要求、使用 SDBOT 自我傳播,以及偏好企業網路而聞名。為了防止 Cl0p 攻击,組織應該實施人工智慧驅動的威脅侦测、持续监控、檢查記錄中的異常活動、全面的員工網路釣魚培訓、快速隔離受感染的系統,以及強大的驗證通訊協定。?

5.Qilin

利用高度可客製化、基於 Rust 的勒索軟體 針對全球各個行業的目標組織。這個團體在 2025 年 4 月獲得了顯著的關注,在勒索軟體攻击中名列前茅。 Qilin 採用一种 双重勒索 技,術不仅會加密受害者的檔案并索取解密贖金,還會 外洩敏感资料并威脅即使支付贖金也會發布。他們複雜的策略包括針對每個受害者量身定制攻击,修改档案名称副档名,终止特定进程,并提供各种加密模式。Qilin 在暗網上宣傳其服务,展示一個專有的资料外洩網站 (DLS),其中包含不重複的公司 ID 和遭竊取的帳戶詳細资料,并据报在以下情况后获得附属团体RansomHub 停止运作。

6.Ryuk

鲁克 是一個非常有針對性的勒索軟體變體的範例。它通常透過魚叉式網路釣魚電子郵件或透過遠端桌面協定 (RDP) 使用受損的使用者憑證登入企業系統來傳遞。一旦系統受到感染,Ryuk 會加密某些类型的文件(避免對計算機運行至關重要的文件),然後提出贖金要求。

Ryuk 是眾所周知的現有最昂貴的勒索軟體类型之一。魯克要求贖金 。因此,Ryuk 背後的網絡犯罪分子主要專注於擁有滿足他們需求所需的资源的企業。

7. Maze

The 迷宫 勒索软体因是第一个勒索软体变种而闻名 。當目標開始拒絕支付贖金時,Maze 開始從受害者的計算機收集敏感數據,然後加密它。 如果沒有滿足贖金要求,這些數據將公開公開或出售給最高出價者。 可能造成昂貴的數據洩露可能作為付款的額外激勵。

Maze 勒索軟體背後的組織 。然而,這并不意味著勒索軟體的威脅已經減少。一些 Maze 附屬公司已轉向使用 Egregor 勒索軟體,并且 Egregor、Maze 和 Sekhmet 變種被認為具有共同來源。

8.REvil (苏迪诺基比)

REvil 集團(也稱為索迪諾基比) 是另一种针对大型组织的勒索软体变体。

REvil 是網路上最知名的勒索軟體系列之一。該勒索軟體組織自 2019 年以來一直由俄語 REvil 組織運營,對「 」和「闯叠厂」等许多重大洩密事件负有责任。

在過去的幾年裡,它一直與 Ryuk 競爭最昂貴的勒索軟體變種的稱號。眾所周知,REvil 有

雖然 REvil 最初是一種傳統的勒索軟體變體,但它隨著時間的推移而不斷發展
他們使用双重勒索技術 - 從企業竊取數據,同時加密文件。這意味著,除了要求贖金來解密數據之外,攻击者還可能會威脅在未进行第二次付款時釋放被盜數據。

9. Lockbit

LockBit 是自 2019 年 9 月開始運行的资料加密恶意软体,也是最近的勒索軟體即服务 (RaaS) 。這款勒索軟體旨在快速加密大型組織,以防止其被安全設備和 IT/SOC 團隊快速检测到。?

10. DearCry

2021 年 3 月,微軟發布了 Microsoft Exchange 伺服器中四個脆弱性的修補程式。DearCry 是一種新的勒索軟體變體,旨在利用 Microsoft Exchange 中最近披露的四種脆弱性

DearCry 勒索軟體會對某些类型的檔案进行加密。加密完成後,DearCry 將顯示一條勒索訊息,指示用戶向勒索軟體營運商發送電子郵件,以了解如何解密其檔案。

11. Lapsus$

Lapsus$ 是一個南美勒索軟體團夥,與針對一些知名目標的網路攻击有關。這個網絡幫派以勒索而聞名,如果受害者沒有提出要求,威脅釋放敏感信息。 該集團自豪地突破了英維亞,三星,尤比索特等。 成可信的。

勒索软体如何影响公司?

勒索軟體攻击成功會對企業造成各種影響。一些最常見的風險包括:

  • 财务损失:勒索軟體攻击旨在強迫受害者支付贖金。此外,公司可能會因為修復感染的成本、業務損失以及潛在的法律費用而蒙受金錢損失。
  • 资料遺失:一些勒索軟體攻击會加密资料,以此作為勒索手段的一環。通常即使公司支付贖金并收到解密器,也可能無法挽回遺失的资料。
  • 资料外洩:勒索軟體集團正愈加投入雙重或三重勒索攻击。這些攻击結合了资料窃取與潛在的外洩,以及资料加密。
  • 停机时间:勒索軟體會加密關鍵资料,而三重勒索攻击可能包含 DDoS 攻击。这两种情况都有可能导致组织营运中断。
  • 品牌损害:勒索軟體攻击會損害組織在客戶和合作伙伴中的聲譽。當客戶资料外洩或收到贖金要求時,更是如此。
  • 法律和监管处罚:勒索軟體攻击可能是由於安全疏忽造成的,并且可能包括敏感资料外洩。這可能會使公司面臨監管機構的訴訟或處罰。

常見的勒索軟體目標产业

勒索軟體可以針對所有产业垂直領域的公司發動攻勢。然而,勒索軟體通常作為網路犯罪活動的一部分經過部署,而這些活動通常針對特定产业。2023 年遭受勒索軟體攻击的前五大产业包括:

  • 教育/研究: 2023 年,教育/研究領域遭受了 2046 次勒索軟體攻击,比前一年下降 12%。
  • 政府/军事:政府和軍事組織是第二大目標产业,共受到 1,598 次攻击,比 2022 年減少 4%。
  • 医疗保健:醫療照護業經歷了 1,500 次攻击,增幅達 3%,由於其提供的是敏感资料和關鍵服务,因此尤其令人擔憂。
  • 通讯:通訊組織在 2023 年成長 8%,共有 1,493 宗已知攻击。
  • 滨厂笔/惭厂笔: ISP 和 MSP 是常見的勒索軟體目標,因為它们可能遭受供應鏈攻击,2023 年遭受了 1286 次勒索軟體攻击,下降 6%。

如何防范勒索软体

  • 利用最佳做法

適當的準備可以大大降低勒索軟體攻击的成本和影響。採取以下最佳實踐可以減少組織遭受勒索軟體的風險并最大限度地減少其影響:

  1. 网路意识培训和教育:勒索軟體通常透過網路釣魚電子郵件傳播。培訓使用者如何識別和避免潛在的勒索軟體攻击至關重要。由於目前的許多網路攻击都是從有針對性的電子郵件開始的,該電子郵件甚至不包含恶意软体,而只是鼓勵用戶點擊惡意連結的社交工程訊息,因此用戶教育通常被認為是最重要的防禦措施之一組織可以部署。
  2. 連續资料備份:勒索軟體的定義表明,它是一種恶意软体,旨在使支付贖金成為恢復對加密资料的存取的唯一方法。自動化、受保護的资料備份使組織能夠從攻击中恢復,并且不需要支付贖金的情況下,并且不需要支付贖金。 維護定期備份數據作為例行程序是一種非常重要的做法,以防止數據丟失,并在損壞或磁盤硬件故障時能夠恢復數據。 功能備份還可以幫助組織從勒索軟體攻击中恢復。
  3. 修补:修補是防禦勒索軟體攻击的關鍵組成部分,因為網路犯罪分子通常會在可用的修補程式中尋找最新的未发现的漏洞,然後針對尚未修補的系統。因此,組織確保所有系統都應用了最新的修補程式至關重要,因為這可以減少企業中可供攻击者利用的潛在弱點的數量。
  4. 使用者身分验证:使用竊取的使用者憑證存取 RDP 等服务是勒索軟體攻击者最喜歡的技術。使用強大的使用者驗證可能會使攻击者更難利用猜測或被盜的密碼

  • 減少攻击面

由於勒索軟體感染的潛在成本很高,預防是最好的勒索軟體緩解策略。通過解決以下問題來減少攻击表面來實現這一點:

  1. 网路钓鱼讯息 透过採用电子邮件防护部署,例如 Harmony 电子邮件安全?
  2. 未修补的脆弱性遭洩漏的认证和其他 在暗網上使用外部風險管理工具 (例如 黑料不打烊 ERM) 所揭露的資產
  3. 遠端存取解决方案採用 SASE 防護。
  4. 行動恶意软体安全。

  • 部署防勒索软体解决方案

需要加密所有使用者的檔案意味著勒索軟體在系統上運行時具有唯一的指紋。反勒索软体解决方案旨在識別這些指紋。良好的反勒索软体解决方案的共同特徵包括:

  • 广泛的变体检测
  • 快速检测
  • 自动恢復
  • 恢復机制不基於常见的内建工具(例如“影子复製”,它是某些勒索软体变体的目标)

如何防范勒索软体

如何移除勒索软体?

没有人想在自己的电脑上看到勒索讯息,因為它表明勒索软体感染已成功。此时,可以採取一些步骤来应对活跃的勒索软体感染,组织必须选择是否支付赎金。

  • 如何减轻主动勒索软体感染

許多成功的勒索軟體攻击只有在资料加密完成并且勒索資訊顯示在受感染電腦的螢幕上後才會被侦测到。此時,加密的文件可能無法恢復,但應立即採取一些步驟:

  1. 隔离机器:某些勒索軟體變體會嘗試傳播到連接的磁碟機和其他機器。透过删除對其他潛在目標的存取權來限制恶意软体的傳播。
  2. 让电脑保持开啟状态:档案加密可能会使电脑不稳定,关闭电脑电源可能会导致挥发性记忆体遗失。保持计算机开啟以最大限度地提高恢復的可能性。
  3. 建立备份:無需支付贖金即可解密某些勒索軟體變種的檔案。如果將來有解决方案可用或解密失敗損壞文件,請在卸除媒體上複製加密文件。
  4. 检查解密程序:请向「無需再勒索項目」查看是否可用免費的解密程序。 如果是這樣,請在加密數據的副本上運行它,以查看它是否可以恢復文件。
  5. 寻求帮助:電腦有時會儲存儲存在其中的檔案的備份副本。 如果這些副本未被恶意软体删除,數位鑑識專家也許能夠恢復這些副本。
  6. 清除和还原:從清潔的備份或作業系統安裝還原本機。 這可確保恶意软体從裝置中完全删除

黑料不打烊 如何提供協助

黑料不打烊 的反勒索软体技術使用專門構建的引擎,可防禦最複雜、具有規避性的零日勒索軟體變體,并安全地恢復加密數據,從而確保業務連續性和生產力。我們的研究團隊每天都會驗證這項技術的有效性,并在識別和緩解攻击方面持续展現出色的成果。

黑料不打烊 Endpoint Security, 黑料不打烊’s leading endpoint prevention and response product, includes Anti-Ransomware technology and provides protection to web browsers and endpoints, leveraging 黑料不打烊’s industry-leading network protections. 黑料不打烊 Endpoint Security delivers complete, real-time threat prevention and remediation across all malware threat vectors, enabling employees to work safely no matter where they are, without compromising on productivity.

黑料不打烊 外部風險管理方案 显着增强组织抵御勒索软体的能力。透过 持续 攻击面管理(ASM)黑料不打烊 发现监控 所有面對网际网路的資產, 找出 勒索软体集团可能利用的脆弱性缺陷和错误设定 黑料不打烊’s 深网与暗网 监控可主動侦测 洩漏的凭证利用它们 进行 初始存取或帳戶接管 (一個常見的勒索軟體入口點) 之前。此外,颁heck Point 提供关键的 供應鏈資安情资持续評估第三方廠商與技術的安全態勢,以降低供應鏈帶來的風險,而供應鏈是日益嚴重的 勒索軟體攻击媒介。最後,他們的 策略性威胁情资透過龐大的资料收集與分析, 可即时洞察新興的勒索軟體趨勢、威脅分子的策略、技術與程序 (TTP),讓組織能夠主動強化防禦,并在攻击發生之前做出明智的安全決策。?