Tellyouthepass结合高危漏洞实施攻击：产品联动保护用户数据安全！

一旦勒索软件完成对系统文件的加密的操作后，加密后的文件默认添加后缀名“.locked1”，勒索信文件名为“README2.html”，受害者可以通过唯一 ID 和邮箱与攻击者取得联系，赎金为 0.12btc。

README2.html 勒索信文件内容如下所示：

被加密后的文件系统如下所示：

Tellyouthepass历史活动事件合集

2020年7月借助永恒之蓝进行内网横向；

2021年12月借助OA软件的反序列化漏洞实施攻击；

2022年8月借助畅某某T+文件上传漏洞发动攻击；

2022年12月借助某友NC反序列化漏洞卷土重来，大量服务器已失陷；

2023年5月借助某友NC反序列化漏洞及某某通高危漏洞扩大攻击。

XDR日志排查

通过AF接入SaaS XDR，云端检测到文件名为teccxaa.jsp的webshell执行成功，发现攻击IP：23.95.218.244

通过XDR日志发现，存在内网主机爆破，但是并未成功。

深信服威胁情报中心排查

通过查看深信服威胁情报中心，发现该IP为恶意。

智能运营平台排查

通过对该攻击者的源 IP 分析，在智能运营平台同时发现了10+以上的客户被攻击，均检出了 webshell 加密通信。基本确定该攻击团伙要针对制造业、科技类攻击进行无差别攻击。

态势感知日志排查

根据webshell文件名过滤，发现有黑客攻击及后门通信记录。

根据攻击者 ip 过滤，发现黑客所利用的接口。云端专家通过对软件进行代码分析，发现存在一个高危漏洞，利用此漏洞可以执行任意代码，上传任意文件。在测试环境中完成该漏洞的复现，并报送监管单位。

安全人员分析及EDR产品联动

安全人员根据日志查看webshell路径，发现其位于在某某通站点根目录，随后安全人员对此进行分析，发现类型为jsp，并采用了AES+BASE64加密。

应急团队收到客户勒索应急求助，经 EDR 确认，进程为 tomcat8.exe，黑客为了绕过勒索诱饵的防护将勒索程序注入到 tomcat 白进程中进行加密，EDR 的勒索行为AI引擎可针对白进程注入勒索进行防护，该进程对应某某通站点。通过勒索信息内容和加密后缀，确认该勒索病毒为 tellyoutheapss 勒索病毒，暂时没有公开解密工具。

在受影响系统中同样在某某通根目录发现名称为teccxaa.jsp的webshell，推测该勒索病毒可能是通过该组件漏洞上传webshell，随后将勒索攻击模块注入到 tomcat8.exe 进程中执行加密操作。

为了最大化加密文件，避免文件被占用，确保不中断系统加密过程，该勒索软件在加密系统之前尝试终止特定的进程列表，这些进程大多属于数据库相关产品，需以防在加密文件的文件被如下进程所占用：

通过事件排查发现，此次攻击事件主要利用 某某通高危上传webshell，注入白进程tomcat8.exe，随后直接执行勒索加密模块，并无勒索文件“落地”，建议联系厂商打上最新补丁防止类似情况发生。

从确定受害主机到执行加密操作时间间隔较短，且并无明显上传扫描、信息收集等黑客攻击的痕迹，因而猜测此次勒索事件并无敏感数据外发的迹象。

预防勒索攻击措施：

 1、避免打开可疑或来历不明的邮件中的链接和附件；

 2、进行定期备份，并将这些备份保存在离线状态或单独的网络中；

 3、安装知名的防病毒和 Internet 安全软件包。

当遭遇勒索攻击后：

1、对受感染设备进行断网；

2、断开外部存储设备（如果已连接）；

3、检查系统日志中是否存在可疑事件。

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件，EDR全新上线“动静态双AI引擎”，静态AI能够在未知勒索载荷落地阶段进行拦截，动态AI则能够在勒索载荷执行阶段进行防御，通过动静态AI双保险机制可以更好地遏制勒索蔓延。请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本。

【深信服下一代防火墙AF】安全防护规则更新至最新版本，接入深信服安全云脑，开启WAF、IPS防护模块和智能运营模块，IPS模板勾选web智能语义引擎（默认勾选）智能运营模块能针对黑客加密工具通信（webshell、C2等工具）进行深度检测，及时识别高级威胁。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。