Tellyouthepass勒索病毒家族正在传播，已有受害情况发生

长按二维码关注

腾讯安全威胁情报中心

腾讯安全能力运营团队

一、概述

腾讯安全威胁情报中心检测到有攻击者通过投递Tellyouthepass勒索病毒对企业实施攻击，攻击活动导致Tellyouthepass勒索病毒事件呈上升趋势，Windows、Linux双平台均有受害情况发生。

Tellyouthepass勒索病毒出现于2020年7月，因其使用RSA+AES的方式对受害服务器文件进行加密，被病毒加密后的文件暂无法解密。我们提醒政企机构尽快进行相关风险排查，及时修复高危漏洞，防止遭受该勒索病毒影响。

被Tellyouthepass勒索病毒加密破坏的Windows文件

Tellyouthepass勒索软件在受害者系统留下勒索信息

Tellyouthepass勒索软件同时攻击linux操作系统

Linux系统被感染后留下勒索信

二、分析

2021年12月，腾讯安全威胁情报中心观察到攻击者攻击企业主机。若攻击成功，会尝试通过恶意class投递勒索病毒。

攻击成功后的恶意java载荷

最近，再次检测到该勒索病毒团伙攻击投递恶意载荷。

攻击者在受害Linux系统的tmp目录投递名为.kernal1或.iscsi_eh，.kthrotld 的勒索病毒攻击载荷，病毒加密后的文件被添加.locked扩展名，受害者被勒索0.1 BTC。

攻击成功会执行恶意脚本，在tmp目录植入.iscsi_eh，.kthrotld勒索模块

 

受害主机会被勒索0.1BTC

详细技术分析可参考腾讯安全威胁情报中心之前发表的文章：《Tellyouthepass勒索病毒携带永恒之蓝攻击模块袭击内网》

三、威胁处置操作手册

【产品解决方案】

1.【清理勒索病毒】
云主机用户可使用腾讯主机安全（云镜）的快扫功能，清理查杀Tellyouthepass勒索病毒。

通过腾讯主机安全（云镜）控制台，入侵检测->文件查杀，检测全网资产，检测恶意文件，若发现，可进行一键隔离操作。

步骤如下：

A: 主机安全(云镜)控制台：入侵检测->文件查杀，选择一键检测：

B：弹出一键检测设置，选择快速扫描，全部专业版主机后开启扫描：

C：查看扫描出的文件查杀结果项

 

D：对病毒文件进行一键隔离（注意勾选隔离并杀掉该文件相关进程）

对于Windows系统主机，可使用腾讯T-Sec iOA零信任安全管理系统实时查杀拦截Tellyouthepass勒索病毒及最新变种。

2.【修复漏洞】
云主机可使用腾讯主机安全（云镜）的漏洞检测修复功能，协助用户快速修补高危漏洞，用户可登录腾讯主机安全控制台，依次打开左侧“漏洞管理”，对扫描到的系统组件漏洞、web应用漏洞、应用漏洞进行排查。

步骤细节如下：
A：主机安全（云镜）控制台：打开漏洞管理->漏洞风险检测，点击一键检测，进行资产漏洞扫描。

B：查看扫描到的漏洞风险项目详情

C：根据检测结果，对检测到有风险的资产进行漏洞修复。

D：回到主机安全（云镜）控制台再次打开“漏洞管理”，重新检测确保资产已不受漏洞影响。

3.【防御】

腾讯云防火墙已支持检测防御相关高危漏洞利用的攻击活动，公有云客户可以开通腾讯云防火墙高级版进行有效防御：

在腾讯云控制台界面，打开入侵防御设置即可。

私有云客户建议参考以下措施对系统进行加固处理：

1、积极排查主机是否存在流行高危漏洞;

2、关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登录;

3、关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

4、推荐企业安全运维配置腾讯云防火墙采用微信扫码验证登录主机，取消传统的账号密码方式登录。仍在使用账号密码登录的，建议强制使用复杂密码，并定期更换；

5、对重要文件和数据（数据库等数据）进行定期非本地备份，确保极端事件发生时，可以快速恢复系统。

IOCs

IP：

74.119.193.68

74.119.194.37

64.227.7.233

URL：

hxxp://74.119.193[.]68/ss64

hxxp://74.119.194[.]37/css.png

hxxp://74.119.194[.]37/a.png

hxxp://74.119.194[.]37/b.png

MD5：

5e6b3458cc56e95ed39a47819e6ba021

208b931d57da8414661cbba6e71a57b0

1ea6e5f4951fbb6a5f7d350cb96b88f9

2cacbad0ac43a93ee80050d4ebd37a60

43054aa09c2a7be9d01a9a9d3ab77a03

71c872aee0b76f02f70c8b52543dc335

83e6d42b1cd006a9caeb02ccb55a9999

e023aa8398ffa257e71f52d96324c0f4

28a8383b23ebad1ea15d2b126016b9d4

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

原文始发于微信公众号（腾讯安全威胁情报中心）：Tellyouthepass勒索病毒家族正在传播，已有受害情况发生