新興勒索軟體The Gentlemen濫用Windows排程工作提升權限,具備自我擴散能力加速大規模感染
來源: iThome | 作者: 張明德 | 日期: 2026-06-03 URL: https://www.ithome.com.tw/news/176336 Blog ID: 726
原文摘要
微軟資安威脅研究團隊揭露新興勒索軟體 The Gentlemen。此勒索軟體以 Go 語言開發,具備檔案加密、自我擴散與橫向移動能力,約自 2025 年中期出現,已影響北美、南美、歐洲、非洲、亞洲的教育、交通、醫療保健與金融機構。
The Gentlemen 背後組織代號為 Storm-2697,以勒索軟體即服務(RaaS)運作並採雙重勒索策略。它會濫用 Windows Scheduled Task 建立 SYSTEM 權限排程工作以提升權限與維持持久性,並透過 WMI、PsExec、PowerShell 進行遠端執行與橫向移動。加密前會停用 Microsoft Defender、刪除陰影複本、清除事件日誌與 PowerShell 歷史;加密後可用隨機資料填滿磁碟並刪除自身執行檔。
衍生頁面
- The Gentlemen勒索軟體濫用Windows排程工作提升權限並自我擴散 — 主要勒索軟體事件
- the-gentlemen — 勒索軟體
- storm-2697 — 背後營運組織
- microsoft — 揭露來源