360预警：Babuk勒索变种攻击激增，利用安全软件“防护空窗期”精准突袭|360|babuk|勒索|安全软件|空窗期|终端安全|黑客

近期，360数字安全集团监测到Babuk勒索家族攻击流量异常波动，全球活跃指数激增。360安全大模型在进一步技术溯源分析后发现，此次活跃度激增与其最新变种搭载的新型攻击模块密切相关。

Babuk又被称作Babyk或Babuk Locker，该勒索软件最早出现于2021年1月初，以“加密文件+窃取数据”的双重勒索模式引发关注。该组织曾于2021年5月参与攻击至少42起，后因内部分歧导致源码泄露，引发变异狂潮，并逐步演化为变种数量最多、攻击面最广的勒索软件生态之一。

目前，360监测到该家族的攻击武器库已广泛涵盖双重勒索、数据泄露威胁、DDoS攻击辅助勒索等复合型攻击策略，以及几乎所有勒索攻击的常见手法。在平台兼容性方面，该家族展现出高度适应性，攻击载荷可横向渗透Windows、Linux系统及VMware ESXi虚拟化环境，构建起跨平台的攻击矩阵。国内监测显示，Babuk家族长期活跃，广东省为重灾区，北京、上海等地亦受波及。

此次Babuk勒索软件最新变种再次实现了勒索手段的升级，进一步增加了对政企机构的威胁挑战。常规的安全软件通常都具备较为严密的自我保护机制，能够避免被木马病毒轻易关闭。该变种则有意利用了安全软件更新升级的防护薄弱期，诱使安全软件主动触发升级流程，从而达成短暂解除自保机制的目的。策略一旦成功，该变种会抓住防御间隙发动突袭，成功穿透终端防护体系。

根据360安全大模型的汇总分析，此类攻击较为典型的攻击流程如下：

实际上，与本轮Babuk最新变种攻击类似的手法在国内并不罕见，360安全大模型每天都能侦测到并拦截大量针对安全软件的攻击。尤其是“卸载攻击”，黑客通常会在获取到一台设备的权限后，首先尝试卸载360安全产品。而当黑客发现无法卸载时，又会再次尝试结束安全软件的进程。

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360推出基于安全大模型赋能的勒索病毒防护解决方案，能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，实现多方位、全流程、体系化、智能化的勒索防护。

作为360勒索病毒防护解决方案中的重要组成，360终端安全管理系统在设计之初便考虑到类似手法，采取必须拥有系统最高权限驱动才能关闭自我保护能力的设计策略。因此，攻击者“远程卸载”、“远程更新”、“强制删除”等对抗手法，均无法对360终端安全管理系统构成实质性威胁。

360终端安全管理系统阻止黑客卸载操作

在此背景下，利用高权限工具驱动的攻击方式应运而生。据360安全大模型监测发现，国内外十余家颇具规模的主流安全厂商的驱动曾被此类攻击利用，数十家规模不等的安全厂商的驱动程序存在被利用的安全隐患。

而当发现既无法卸载，又无法结束安全软件的情况下，攻击者还会尝试通过模拟鼠标点击的方式来关闭安全软件。对于此类模拟点击的攻击手段，360终端安全管理系统同样具备对应的防护功能，避免终端产品被关闭。

360终端安全管理系统拦截模拟鼠标点击操作

综合此次Babuk最新变种攻击事件来看，勒索软件变种频出，攻击手法日益多样化，针对企业级环境的渗透能力呈现指数级增强，政企机构亟需构建全方位的动态防御体系，以应对不断升维的数字安全威胁。

目前，360勒索病毒防护解决方案已经实现对该类勒索病毒的全面查杀&解密。同时，针对不同类别的勒索病毒，该方案还根据不同客户体量与需求推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助，建议广大政企机构尽快部署。

如需咨询相关服务

请联系电话

400-0309-360

● 周鸿祎对话央视新闻：360锁定三名美国特工网攻亚冬会

● 摊牌了，2025攻防演练主力还得是安全智能体