一、事件概要

事件名稱	Tellyouthepass勒索病毒正在傳播
威脅等級	高危（勒索）
影響範圍	國內多家單位
攻擊型別	勒索、漏洞利用
簡單描述	近日，深信服威脅情報檢測到有攻擊者透過投遞Tellyouthepass勒索病毒對企業實施攻擊，攻擊活動導致Tellyouthepass勒索病毒事件呈上升趨勢，多家企事業單位受到影響。

二、事件描述

近日，深信服威脅情報檢測到有攻擊者透過投遞Tellyouthepass勒索病毒對企業實施攻擊，攻擊活動導致Tellyouthepass勒索病毒事件呈上升趨勢，多家企事業單位受到影響。

本次Tellyouthepass勒索病毒主要透過某OA系統框架的Log4j2漏洞以及某企業管理軟體反序列化漏洞進行入侵攻擊，在5月7日-9日持續發起批次攻擊。

Tellyouthepass勒索病毒最早出現於2020年7月，因其使用RSA+AES的方式對受害伺服器檔案進行加密，目前該勒索家族暫無公開的解密工具，加密後資料無法直接解密，使用者將面臨高額的勒索贖金和業務影響，建議政企單位儘早做好相關的加固防護措施。

Windows平臺勒索內容:

Linux平臺勒索內容：

加密後的檔案如下，會修改檔案字尾為.locked

三、情報分析

本次Tellyouthepass勒索病毒主要利用某OA系統框架的Log4j2漏洞以及某企業管理軟體反序列化漏洞進行入侵攻擊，在5月7日-9日持續發起批次攻擊，透過遠端執行命令下載執行勒索病毒。該勒索病毒家族通常透過漏洞利用批次掃描進行攻擊，受影響較大的是存在漏洞且對外網對映的伺服器，暫不具有內網自動橫向的功能。

Log4j2

早在2020年12月威脅情報就監控到Tellyouthepass團伙將Apache Log4j2遠端程式碼執行高危漏洞武器化，用於進行批次攻擊。本次攻擊特徵如下：

某企業管理軟體反序列化漏洞

在深信服安全團隊的溯源中發現，勒索的入侵路徑中包括某系統平臺反序列化漏洞。排查入侵痕跡時，在Web訪問日誌中會記錄訪問“ServiceDispatcherServlet”介面的日誌。

另外/nclogs/server目錄下對應加密時間的日誌檔案中會包含C2地址：

如果上述Web日誌均被加密，可檢視主機對應加密時間的應用程式日誌，篩選事件ID為1040日誌，可看到C2地址記錄。

四、解決方案

處置建議：

值得注意的是，該勒索不會刪除卷影副本和清空回收站，中招該勒索的主機可從卷影副本中還原系統。

該勒索目前使用的傳播手段為利用log4j2漏洞進行傳播，針對比較多的框架為某OA框架，相關補丁連結如下。

https://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&id=94

解決方案如下：

Log4j2建議受影響的使用者及時更新升級到最新版本。連結如下：

https://github.com/apache/logging-log4j2/tags

五、參考連結

深信服EDR成功攔截利用Apache Log4j2漏洞Tellyouthepass 勒索，警惕攻擊OA系統：

https://zhuanlan.kanxue.com/article-17227.htm