其通过数据窃取和文件加密双重勒索机制开展攻击，可能导致数据泄露、业务中断等安全风险。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（ CSTIS ）监测到一种名为 SafePay 的新型勒索病毒，其通过数据窃取和文件加密双重勒索机制开展攻击，可能导致数据泄露、业务中断等安全风险。

SafePay 勒索病毒与 LockBit 勒索病毒密切相关，并深度借鉴 INC 和 ALPHV/BlackCat 等勒索病毒攻击策略。在数据窃取阶段， SafePay 利用已知漏洞或弱口令实施攻击入侵，成功感染目标终端后，通过 WinRAR 、 FileZilla 等工具归档、盗取目标文件。在加密部署阶段， SafePay 通过远程桌面协议（ RDP ）访问目标终端，利用 PowerShell 脚本实施文件加密、禁用恢复和删除卷影副本，对加密文件添加“ .safepay ”扩展名，并留下名为“ readme_safepay.txt ”的勒索文件。在攻击过程中， SafePay 会通过 COM 对象技术绕过用户账户控制（ UAC ）和提升权限，采用禁用 Windows Defender 、字符串混淆、线程创建、重复安装卸载工具等机制规避检测。

建议相关单位及用户立即组织排查，加强 RDP 等远程访问的安全管理，使用强密码和多因素身份验证，实施全盘病毒查杀，及时修复已知安全漏洞，谨慎警惕来源不明的文件，定期备份重要数据，防范网络攻击风险。