节前预警：新型Sorry勒索软件活跃，或迎攻击高峰

随着五一假期临近，企业网络安全防护进入关键阶段。360安全团队监测发现，近期“Sorry”勒索软件攻击活动明显升温，并呈现出周期性集中爆发特征。结合攻击态势与样本分析研判，该勒索软件极有可能在五一假期期间发起新一轮攻击高峰，需引起各政企单位高度重视。

Sorry勒索软件攻击概况

攻击持续升温，核心业务系统成主要目标
自今年3月首次被捕获以来，Sorry勒索软件已在多个行业环境中出现攻击迹象。监测数据显示，该类攻击在周末及节假日前后出现明显增长，呈现出“节假日前后集中爆发”的特征。

从攻击路径来看，攻击者通常通过利用企业常见系统或组件漏洞实现初始入侵，随后远程加载勒索载荷，并在内网中快速扩散，实现批量加密。这一过程自动化程度高、攻击节奏快，一旦突破边界防护，极易在短时间内造成大范围影响。

攻击进程链示例

与传统勒索攻击相比，该家族更倾向于针对企业核心业务数据发起打击，包括数据库、办公文档及设计类文件等关键资产。一旦攻击成功，往往直接导致业务系统不可用，影响范围由单点设备迅速扩大至核心业务系统。

同时，监测还发现该勒索软件已具备跨平台攻击能力，部分Linux服务器同样出现被加密案例，意味着云环境及服务器资产正成为新的高风险目标。

攻击模式演进，勒索攻击进入“体系化阶段”
从整体特征来看，当前勒索攻击正在从“工具化”向“体系化、产业化”演进。Sorry勒索软件在加密机制、执行流程及对抗检测等方面均具备较高成熟度，使得攻击成功后的数据恢复难度极大。

同时，样本具备对受害主机进行标识、统计及信息回传的能力，反映出其背后已形成相对成熟的攻击运营模式。这类攻击不再依赖单点突破，而是通过自动化投放与统一管理，实现规模化扩散与持续获利。

结合历史攻击规律可以发现，节假日往往成为此类攻击的“放大窗口”：安全值守薄弱、响应延迟以及漏洞修复滞后，使攻击更容易成功并扩大影响。因此，五一假期极可能成为本轮攻击的重要时间节点。

构建全链条防护能力，应对AI时代勒索威胁
在勒索攻击持续演进的背景下，传统单点防护手段已难以有效应对当前威胁。围绕勒索攻击“事前入侵、事中扩散、事后勒索”的完整链路，构建系统化防护能力已成为关键。

作为数字安全的领导者，360数字安全集团多年来持续深耕勒索病毒防护领域。基于过去20年积累的安全大数据、实战攻防经验以及顶级安全专家团队，360创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。

该体系通过集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体，实现对威胁的毫秒级自动识别与响应，能够在攻击发生前进行风险识别与阻断，在攻击过程中快速遏制扩散，在攻击发生后辅助处置与恢复，形成覆盖勒索攻击全生命周期的防护能力体系。

通过这种“多智能体协同”的方式，企业可以从被动防御转向主动防护，在复杂攻击场景下依然保持持续检测与快速响应能力，有效降低勒索攻击带来的业务风险。

节前防护建议：提前加固，避免成为攻击目标
针对当前威胁态势，360建议各政企单位在节前重点落实以下安全措施：

一是开展全面资产与漏洞排查，重点检查对外暴露系统及常用组件，及时修复高危漏洞；

二是强化账号与权限管理，收敛高权限账户，关闭不必要的远程服务，避免弱口令风险；

三是持续开启终端安全防护能力，重点启用勒索行为检测与拦截机制；

四是对数据库、文件服务器及备份系统进行网络隔离，防止攻击横向扩散；

五是完善数据备份体系，确保具备离线备份能力，并定期开展恢复演练。

总体来看，Sorry勒索软件已具备较强的攻击能力与对抗水平，并呈现出明显的规模化与周期性特征。五一假期前后，相关攻击风险将进一步上升。

360提醒各单位：假期并非安全空窗期，而是攻击高发期。建议尽快完成安全检查与加固工作，提前构建防护体系，避免在关键时段遭受勒索攻击影响业务运行。

来源：360数字安全