工信部:关于防范SafePay勒索病毒的风险提示
2024-12-31 10:4:0 Author: mp.weixin.qq.com(查看原文) 阅读量:15 收藏

关注我们

带你读懂网络安全

其通过数据窃取和文件加密双重勒索机制开展攻击,可能导致数据泄露、业务中断等安全风险。


    近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测到一种名为SafePay的新型勒索病毒,其通过数据窃取和文件加密双重勒索机制开展攻击,可能导致数据泄露、业务中断等安全风险。
    SafePay勒索病毒与LockBit勒索病毒密切相关,并深度借鉴INCALPHV/BlackCat等勒索病毒攻击策略。在数据窃取阶段,SafePay利用已知漏洞或弱口令实施攻击入侵,成功感染目标终端后,通过WinRARFileZilla等工具归档、盗取目标文件。在加密部署阶段,SafePay通过远程桌面协议(RDP)访问目标终端,利用PowerShell脚本实施文件加密、禁用恢复和删除卷影副本,对加密文件添加“.safepay”扩展名,并留下名为“readme_safepay.txt”的勒索文件。在攻击过程中,SafePay会通过COM对象技术绕过用户账户控制(UAC)和提升权限,采用禁用Windows Defender、字符串混淆、线程创建、重复安装卸载工具等机制规避检测。
    建议相关单位及用户立即组织排查,加强RDP等远程访问的安全管理,使用强密码和多因素身份验证,实施全盘病毒查杀,及时修复已知安全漏洞,谨慎警惕来源不明的文件,定期备份重要数据,防范网络攻击风险。

推荐阅读

文章来源:网络安全威胁和漏洞信息共享平台

点击下方卡片关注我们,
带你一起读懂网络安全 ↓

文章来源: https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247513393&idx=2&sn=e05b5393422e6a439d4f1c16bb878b2e&chksm=ebfaf211dc8d7b073fe23c80121d4d4b62820898cfbcb294b8b2c0a02e52e63b5da3c7fdfedf&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh