麒麟（Qilin）勒索软件被发现滥用 Windows Subsystem for Linux(WSL)在 Windows 操作系统中执行 Linux 加密器以逃避传统安全工具的检测。麒麟勒索软件最初的名字叫 Agenda，2022 年 9 月改名为麒麟，沿用至今，它是目前最活跃的勒索软件之一。安全公司趋势科技和思科 Talos 报告，麒麟勒索软件组织今年至今攻击了 62 个国家的逾 700 名受害者，2025 年下半年每月新增受害者逾 40。趋势科技的安全研究员报告，麒麟勒索软件组织利用 WinSCP 将 Linux ELF 加密器传输到入侵的设备，然后通过 Splashtop 远程管理软件 (SRManager.exe) 直接在 Windows 系统中启动加密器。该加密器无法直接在 Windows 中运行，必须通过 WSL 子系统。WSL 允许用户直接在 Windows 系统中安装和运行 Linux 发行版，攻击者在获得设备的访问权限之后，会启用或安装 WSL，然后执行加密器，绕过传统的 Windows 安全软件。

https://www.bleepingcomputer.com/news/security/qilin-ransomware-abuses-wsl-to-run-linux-encryptors-in-windows/