Tellyouthepass勒索病毒家族利用多个漏洞攻击传播，Windows、Linux均受影响

近日，腾讯安全威胁情报中心检测到有攻击者利用Shiro反序列化高危漏洞、Apache Log4j2 高危漏洞对企业实施勒索攻击，最终投递Tellyouthepass勒索病毒。攻击活动导致Tellyouthepass勒索病毒事件呈上升趋势，Windows、Linux双平台均有受害情况发生。

Tellyouthepass勒索病毒在国内出现于2020年7月，该勒索病毒家族早期利用永恒之蓝漏洞攻击传播，也使用ms16-032内核提权漏洞进行提权攻击。

2021年12月，腾讯安全威胁情报中心检测到Tellyouthepass勒索病毒利用Apache Log4j2漏洞攻击某企业OA系统。由于该OA系统基于java开发，受Apache Log4j2远程代码执行高危漏洞（CVE-2021-44228）影响严重，存在漏洞的系统因此被攻陷后投递Tellyouthepass勒索病毒。

Tellyouthepass勒索病毒家族热衷于使用各类热门漏洞武器攻击传播，同时使用RSA+AES的方式对文件进行加密，被病毒加密后的文件暂无法解密。

我们提醒政企机构尽快进行相关风险排查，及时修复高危漏洞，防止遭受该勒索病毒影响。

被Tellyouthepass勒索病毒加密破坏的文件

Tellyouthepass勒索软件在受害者系统留下勒索信息

Tellyouthepass勒索软件也会攻击linux操作系统：

详细技术分析可参考腾讯安全威胁情报中心之前发表的文章：《Tellyouthepass勒索病毒携带永恒之蓝攻击模块袭击内网》。

腾讯安全威胁情报中心观察到，自2021年12月以来，攻击者利用Apache Log4j2远程代码执行高危漏洞（CVE-2021-44228）攻击云主机的情况时有出现：

漏洞攻击成功后，部分攻击者会尝试通过恶意class投递勒索病毒。

最近，腾讯安全检测到攻击者使用Shiro反序列化漏洞攻击，投递恶意载荷的情况出现。攻击者在受害系统的tmp目录投递名为.kernal1或.iscsi_eh，.kthrotld 的勒索病毒攻击载荷，病毒加密后的文件会被添加.locked扩展名，黑客要求受害者支付0.1 BTC以恢复数据。

腾讯T-Sec云防火墙拦截到恶意攻击流量

攻击后执行恶意脚本，在tmp目录植入.iscsi_eh，.kthrotld勒索模块

Linux的受害主机也被勒索0.1BTC