关于防范BERT勒索软件的风险提示

　　 近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现BERT勒索软件持续活跃，主要攻击目标为医疗健康、科技及活动服务等行业用户，可能导致服务中断、业务停摆等风险。

　　BERT是一种具备跨平台攻击能力（Windows/Linux/ESXi）的多线程勒索软件，主要通过钓鱼邮件或篡改软件包传播。在Windows系统中，攻击者利用PowerShell加载器（start.ps1）禁用安全机制、提升权限（如WindowsDefender、防火墙、UAC），通过仿冒域名、GitHub恶意仓库、FastFlux网络及暗网节点等传播有效载荷（payload.exe）。一旦植入成功，该勒索软件将终止Web服务器和数据库相关服务，采用AES算法实施文件加密，添加.encryptedbybert扩展名，并留下勒索通知。在Linux和ESXi环境中，勒索软件还可启动50个并发线程加速加密，而且可以强制关闭ESXi虚拟机以彻底阻断业务恢复能力。

　　建议相关单位及用户立即组织排查，及时更新防病毒软件。定期实施全盘查杀，加强对邮件附件和链接的审核，谨慎打开来源不明的邮件，关闭非必要系统服务以降低攻击面，备份关键数据并离线存储，加强员工网络安全意识培训。