工信部CSTIS监测到新型勒索病毒SafePay，该病毒采用数据窃取和文件加密双重勒索机制，与LockBit等勒索病毒有关联。SafePay利用漏洞或弱口令入侵，窃取文件后通过RDP加密，并禁用恢复功能。攻击中，病毒会绕过UAC并规避检测。建议用户加强远程访问安全，使用强密码，及时修复漏洞，谨慎对待不明文件，并定期备份数据以防范风险。

⚠️SafePay勒索病毒采用双重勒索机制，先窃取数据，再加密文件，导致数据泄露和业务中断风险。

🔒病毒利用已知漏洞或弱口令入侵，通过WinRAR、FileZilla等工具窃取文件，再通过RDP访问目标终端进行加密。

🛡️SafePay使用PowerShell脚本加密文件，禁用恢复，并添加“.safepay”扩展名，留下勒索文件，同时会绕过UAC和规避检测。

🚨建议用户加强RDP等远程访问安全，使用强密码和多因素验证，及时修复安全漏洞，并定期备份重要数据。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测到一种名为SafePay的新型勒索病毒，其通过数据窃取和文件加密双重勒索机制开展攻击，可能导致数据泄露、业务中断等安全风险。

SafePay勒索病毒与LockBit勒索病毒密切相关，并深度借鉴INC和ALPHV/BlackCat等勒索病毒攻击策略。在数据窃取阶段，SafePay利用已知漏洞或弱口令实施攻击入侵，成功感染目标终端后，通过WinRAR、FileZilla等工具归档、盗取目标文件。在加密部署阶段，SafePay通过远程桌面协议（RDP）访问目标终端，利用PowerShell脚本实施文件加密、禁用恢复和删除卷影副本，对加密文件添加“.safepay”扩展名，并留下名为“readme_safepay.txt”的勒索文件。在攻击过程中，SafePay会通过COM对象技术绕过用户账户控制（UAC）和提升权限，采用禁用Windows Defender、字符串混淆、线程创建、重复安装卸载工具等机制规避检测。

建议相关单位及用户立即组织排查，加强RDP等远程访问的安全管理，使用强密码和多因素身份验证，实施全盘病毒查杀，及时修复已知安全漏洞，谨慎警惕来源不明的文件，定期备份重要数据，防范网络攻击风险。

声明：本文来自网络安全威胁和漏洞信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。