舊的不去，新的不來。從機器人在春晚舞臺上翩翩起舞，到藍色小鯨魚打響2025開年第一炮，整個數字世界呈現出一片勃勃生機，萬物競發的景象。

然而，在數字世界的陰暗面，勒索軟件也在以驚人的速度進化。

盡管BlackCat、LockBit等主要勒索軟件集團受到執法打擊，但勒索軟件即服務(RaaS)依然展現出極強的韌性，仿佛打不死的“小強”，新的組織不斷涌現，新的技術層出不窮。

而在過去的一年里，勒索軟件不再局限于傳統的攻擊手段。它們不僅在技術上變得更加復雜，還在攻擊目標和策略上進行了重大調整。從單一的加密勒索到結合數據泄露的雙重勒索、從對小型企業的局部攻擊到對跨國企業和政府機構的全面入侵，勒索軟件的進化之路充滿了危險與不確定性。

在往期的黑客動態播報里，小編為大家講解了2025年需要重點防范的五個勒索手段。那么，在過去的一年里，那些最活躍的勒索軟件是如何利用新技術和新策略來提升攻擊效果的？而它們又有什么共性，能帶給我們怎樣的啟示？

#01LockBit卷土重來

不可輕易放松警惕

作為最臭名昭著的勒索軟件團伙之一，LockBit以高效的加密以及規避傳統安全措施的能力而聞名。

盡管在2024年2月受到重創，但由于犯罪團伙的快速響應并未將其完全扼殺，再加之勒索軟件即服務(RaaS)模式的成熟，這導致許多與LockBit沒有正式關系的網絡犯罪分子也能通過LockBit 3.0來發起攻擊，在各個行業造成廣泛的破壞。

LockBit 3.0勒索軟件的入侵跡象十分明顯：它會將文件圖標替換為LockBit徽標，并隨即彈出一張勒索信。通知中告知受害者，其文件已被加密，并要求支付贖金以解鎖數據。

LockBit 3.0勒索軟件的攻擊技術主要依靠加密和雙重勒索，這些復雜的入侵技術和攻擊手段，展現出高度的自動化和隱匿性，具體來說：

1、通過多種方式獲取初始訪問權限，包括從文件和Web瀏覽器中提取存儲的憑據，利用遠程桌面協議(RDP)的弱口令或已知漏洞進行滲透等方式。

2、通過繞過安全控制或結束殺軟進程獲得更高的權限，同時在入侵后，LockBit 3.0會嘗試提升權限至管理員級別。

3、在加密文件之前掃描系統以收集信息，利用合法工具（如rclone）將敏感數據上傳到遠程服務器，最后加密數據以鎖定關鍵業務運營。

#02中小型企業殺手

專挑“軟柿子”的Lynx

去年年中，一個名為Lynx的新興勒索軟件組織迅速崛起，因其激進的攻擊手段而聲名狼藉。與專注于攻擊大型企業的勒索軟件團伙不同，Lynx更傾向于利用中小企業薄弱的安全措施，有針對性地對北美和歐洲的中小型企業發起攻擊。

該組織的勒索策略高度依賴雙重勒索手段。一旦目標設施遭受感染，桌面壁紙會迅速被勒索信替代，信中明確聲明：他們不僅會加密數據，如果受害者拒絕支付贖金，他們還會在公共網站和暗網上公開被盜數據。

Lynx勒索軟件主要通過攻擊中小企業來實施入侵，由于這些企業通常具有薄弱的安全防護，這種相對簡單的攻擊方式卻極為有效：

1、Lynx的傳播途徑多樣，包括釣魚郵件、惡意下載和黑客論壇資源共享等，可以有效繞過安全防護直接接觸目標系統。

2、Lynx使用先進的加密算法（如AES-128和Curve25519 Donna）對文件進行加密，同時還會重命名文件以模擬其他勒索軟件病毒，以混淆發起的攻擊。

3、Lynx入侵的另一個特點是查詢注冊表以掃描系統詳細信息和安全軟件，并讀取CPU信息以評估目標環境，這導致許多企業在收到勒索信之前無法察覺到攻擊。

#03迅速傳播，批量感染

自我復制的勒索軟件Virlock

Virlock是一種獨特的勒索軟件病毒，首次出現于2014年。盡管它并非全新的勒索軟件，但在ALPHV和LockBit兩大勒索軟件組織相繼受到打擊的背景下，Virlock借助勒索軟件即服務(RaaS)的興起再次嶄露頭角，迅速成為RansomHub、Akira等網絡犯罪團伙的常用手段。

在最近的入侵活動中，安全人員發現Virlock通過云存儲和協作應用程序感染和加密文件，然后再將這些文件同步到公共云環境中。一旦用戶無意中執行了受感染的文件，Virlock勒索軟件便會自動復制到新的用戶環境中，就像傳染病那樣。

Virlock勒索軟件最大的特點就是其自我復制能力，集感染、勒索、鎖屏功能于一身，這種雙重功能使其能夠迅速傳播，尤其是通過云存儲以及云上協作平臺，而其入侵手段主要呈現出以下特質：

1、難以完全清除和阻止：感染后會識別出特定于Virlock的互斥鎖，使其一次只運行一個實例以避免干擾，一旦其中某一進程被安全軟件終止，其他進程會自動重新啟動該進程，增加清除難度。

2、自啟動與持久化：Virlock會修改Windows注冊表，隱藏文件擴展名以欺騙用戶點擊被感染的文件，同時將其添加到系統啟動項或注冊為系統服務，確保每次開機自動運行。

無論勒索軟件如何演變，其核心特征始終是復雜且激進的網絡勒索策略。從LockBit、Lynx到Virlock，這三種勒索軟件在攻擊流程上展現出高度相似的共性：

01加密文件以鎖定關鍵業務數據

三種勒索軟件都以加密受害者的關鍵文件和數據為核心手段，通過這種方式使受害者無法正常訪問其業務系統，同時還會威脅泄露數據，從而實現雙重甚至三重勒索。

02利用漏洞和工具擴大感染

這些勒索軟件會利用系統漏洞（如SMB協議漏洞）或工具（如PsExec）進行橫向移動和傳播，擴大攻擊范圍。這種策略不僅提高了攻擊效率，還增加了防御難度。

03偽裝、篡改和潛伏

三種勒索軟件的入侵都會將惡意文件偽裝成正常的文件，以修改注冊表的方式提升攻擊的持久性，并在加密文件之前，都會掃描系統以收集信息，包括系統配置、存儲設備、網絡共享資源等，以便更好地進行攻擊。

當然，上述勒索軟件僅是眾多威脅中的一部分，還有Medusa、BlackBasta等其他團伙伺機而動。與此同時，勒索軟件即服務(RaaS)平臺的出現使網絡犯罪平民化，使技術能力較低的犯罪分子也能發動復雜的攻擊。

戴爾數據避風港

打造現代的數據防線

面對這一嚴峻形勢，企業亟需構建現代化的網絡安全防線，以應對日益復雜且不斷演變的網絡威脅。在此過程中，企業不僅要建立健全可靠的備份與恢復機制，還需完善監測與響應體系，同時加強安全意識培訓，尤其是在憑據管理、權限控制等關鍵領域。

作為業界領先的端到端IT解決方案供應商，戴爾科技經過驗證的現代化智能保護解決方案——PowerProtect Cyber Recovery數據避風港正是為應對這些復雜挑戰而設計的，以強大的不可變性、隔離和智能化，全方位保護企業數據安全。

#01可靠的備份與恢復機制

有效防止業務停擺

作為現代業務運轉的基礎，數據備份的保護是重中之重。戴爾數據避風港方案以強大的備份和恢復機制實現網絡彈性，并確保本地和多云環境中的業務連續性。

在本地，數據避風港以自動化數據隔離的方式進行保護，并具有多層物理和邏輯安全保護，所有數據存儲在安全隔離的Cyber Recovery數據避風港存儲區中，同時借助PowerProtect Data Domain，用戶可實現滿足合規要求的硬件級不可變性，并獲得NTP防篡改保護。

在云端，戴爾科技與AWS、Azure、Google Cloud等眾多領先云服務提供商建立了緊密的合作關系。戴爾數據避風港方案提供快速且易于部署的公有云存儲區域，能夠有效保護和隔離關鍵數據與系統，使其免受網絡攻擊的威脅。此外，該方案還支持在遭受攻擊后快速恢復數據，并提供多種恢復選項，以加速數據恢復流程，確保企業業務的連續性。

#02強大的數據加密與隔離

避免勒索軟件擴大感染

現代勒索軟件以其快速的迭代和強大的傳染性而聞名，一旦入侵，便能在短時間內迅速擴散至整個用戶環境。因此，構建一套堅固且不可篡改的數據保險箱已成為當務之急。

Cyber Recovery數據避風港存儲區正是這樣一套安全解決方案。企業的備份數據通過內部網絡和專用接口，安全地與Cyber Recovery Vault存儲設備建立復制鏈接。該區域對勒索軟件不可見，從而顯著降低了備份數據被感染的風險。

而控制該區域連接的Air Gap網閘隔離機制，會在數據同步完畢的同時斷開數據訪問路徑，以阻斷勒索軟件在系統內傳播的可能，保證備份數據拷貝副本不可加密、不可篡改、不可刪除。

#03智能監測與主動防御

快速識別威脅

如今，勒索軟件變得更加致命且隱蔽，攻擊者通過修改文件名或注冊表等手段來混淆攻擊路徑，為長期潛伏做準備。這些行為使得勒索軟件能夠在系統中悄然存在，而不易被發現。

在這種情況下，傳統安全工具往往難以有效檢測此類威脅。因為其原理是在創建或更改程序和文件時對它們進行實時掃描，并將它們與已知的病毒特征碼進行比較，對于直接更改文件結構、部分加密的方式來說檢測能力會大打折扣。

而戴爾數據避風港完全集成的CyberSense技術不僅會掃描元數據，也會對文件類型、文檔結構以及數據庫內容進行全盤掃描。其內容分析屬性高達200項，遠超于基于掃描元數據的解決方案的12項屬性分析。

同時，CyberSense還通過機器學習對數以千計的惡意軟件進行訓練，并區分用戶活動與勒索軟件行為。這種自動化分析手段不僅可以加速發現異常行為模式，同時還能更大限度地減少誤報和漏報，置信度可達99.9%。

結 語

技術革新雖極大地提升了生產效率，卻也進一步放大了網絡威脅的破壞力。從新興到傳統的勒索軟件，不斷展現出其生態系統的適應性和持久性。面對這一嚴峻形勢，企業必須保持高度警惕，并持續強化防御策略。

而在勒索軟件日益復雜的背景下，戴爾數據避風港方案不僅是一個技術解決方案，更是企業數據安全的“避風港”，通過加密、隔離、備份和恢復等多層防護機制，為企業提供全方位保護，讓企業可以專注于核心業務，無需再為數據安全擔憂。