Tellyouthepass勒索病毒家族利用多個漏洞攻擊傳播,Windows、Linux均受影響
近日,騰訊安全威脅情報中心檢測到有攻擊者利用Shiro反序列化高危漏洞、Apache Log4j2 高危漏洞對企業實施勒索攻擊,最終投遞Tellyouthepass勒索病毒。攻擊活動導致Tellyouthepass勒索病毒事件呈上升趨勢,Windows、Linux雙平臺均有受害情況發生。
Tellyouthepass勒索病毒在國內出現于2020年7月,該勒索病毒家族早期利用永恒之藍漏洞攻擊傳播,也使用ms16-032內核提權漏洞進行提權攻擊。
2021年12月,騰訊安全威脅情報中心檢測到Tellyouthepass勒索病毒利用Apache Log4j2漏洞攻擊某企業OA系統。由于該OA系統基于java開發,受Apache Log4j2遠程代碼執行高危漏洞(CVE-2021-44228)影響嚴重,存在漏洞的系統因此被攻陷后投遞Tellyouthepass勒索病毒。
Tellyouthepass勒索病毒家族熱衷于使用各類熱門漏洞武器攻擊傳播,同時使用RSA+AES的方式對文件進行加密,被病毒加密后的文件暫無法解密。
我們提醒政企機構盡快進行相關風險排查,及時修復高危漏洞,防止遭受該勒索病毒影響。
被Tellyouthepass勒索病毒加密破壞的文件
Tellyouthepass勒索軟件在受害者系統留下勒索信息
Tellyouthepass勒索軟件也會攻擊linux操作系統:
詳細技術分析可參考騰訊安全威脅情報中心之前發表的文章:《Tellyouthepass勒索病毒攜帶永恒之藍攻擊模塊襲擊內網》。
騰訊安全威脅情報中心觀察到,自2021年12月以來,攻擊者利用Apache Log4j2遠程代碼執行高危漏洞(CVE-2021-44228)攻擊云主機的情況時有出現:
漏洞攻擊成功后,部分攻擊者會嘗試通過惡意class投遞勒索病毒。
最近,騰訊安全檢測到攻擊者使用Shiro反序列化漏洞攻擊,投遞惡意載荷的情況出現。攻擊者在受害系統的tmp目錄投遞名為.kernal1或.iscsi_eh,.kthrotld 的勒索病毒攻擊載荷,病毒加密后的文件會被添加.locked擴展名,黑客要求受害者支付0.1 BTC以恢復數據。
騰訊T-Sec云防火墻攔截到惡意攻擊流量
攻擊后執行惡意腳本,在tmp目錄植入.iscsi_eh,.kthrotld勒索模塊
Linux的受害主機也被勒索0.1BTC
