近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现BERT勒索软件持续活跃，主要攻击目标为医疗健康、科技及活动服务等行业用户，可能导致服务中断、业务停摆等风险。

BERT是一种具备跨平台攻击能力（Windows/Linux/ESXi）的多线程勒索软件，主要通过钓鱼邮件或篡改软件包传播。在Windows系统中，攻击者利用PowerShell加载器（start.ps1）禁用安全机制、提升权限（如WindowsDefender、防火墙、UAC），通过仿冒域名、GitHub恶意仓库、FastFlux网络及暗网节点等传播有效载荷（payload.exe）。一旦植入成功，该勒索软件将终止Web服务器和数据库相关服务，采用AES算法实施文件加密，添加.encryptedbybert扩展名，并留下勒索通知。在Linux和ESXi环境中，勒索软件还可启动50个并发线程加速加密，而且可以强制关闭ESXi虚拟机以彻底阻断业务恢复能力。

建议相关单位及用户立即组织排查，及时更新防病毒软件。定期实施全盘查杀，加强对邮件附件和链接的审核，谨慎打开来源不明的邮件，关闭非必要系统服务以降低攻击面，备份关键数据并离线存储，加强员工网络安全意识培训。

声明：本文来自网络安全威胁和漏洞信息共享平台，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。

翻译图片

显示原图

翻译为

中文

英文

复制译文

下载图片