近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测到一种新型勒索病毒Ymir，主要针对工业企业和信息技术相关企业，可能导致数据窃取和业务中断等安全风险。

Ymir是一种用ChaCha20算法加密文件的新型勒索病毒，其能直接在内存中执行恶意代码以进行隐蔽攻击，首次发现于2024年7月。该病毒主要通过网络钓鱼（如假冒IT支持人员、发送钓鱼邮件）和漏洞利用等手段侵入目标系统。在近期的攻击活动中，Ymir通常与RustyStealer信息窃取恶意软件联合攻击，RustyStealer首先窃取受害者的系统凭证以供攻击者未经授权地访问受害者系统，进而在其内部网络中部署Ymir勒索病毒及其他恶意软件（如Advanced IP Scanner、Process Hacker等）。成功部署后，Ymir开始加密文件，并可指定搜索目录及跳过白名单上的文件，被加密的文件会附加如“.6C5oy2dVr6”的随机扩展名，并通过名为“INCIDENT_REPORT.pdf”的文件要求支付赎金以换取解密密钥。

建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，警惕来源不明的文件或链接，并可通过保持软件更新，及时修复安全漏洞，定期备份数据等措施，防范网络攻击风险。

声明：本文来自 ，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。