请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
TellYouThePass阴魂不散


攻击概况

      近日,360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。而这波勒索攻击的受害者都有着两个显著的共同特征:
  • 中招设备未安装360安全产品;
  • 中招设备均为运行财务管理服务的计算机;


      经360安全智脑的分析研判,成功锁定了这一波攻击的来源为TellYouThePass勒索家族——一家擅长利用服务器漏洞进行规模化攻击的老牌勒索软件家族。该家族仅在2023年就发动了3轮较大规模的攻击,而在2024年初又开始继续作恶。
      而360云端智脑也为我们展示了其最近半年的攻击趋势,可以看到最近一段时间,其活跃程度显著增加:

360社区

360社区


图1: TellYouThePass勒索软件2024年一季度攻击态势

      本轮集中爆发是该家族在龙年后的首度回归——仅在3月20日一天我们就监测到了数千台财务电脑遭其攻击。

攻击说明

      我们对受到本轮攻击的部分设备进行了分析。发现受攻击设备一旦成功被感染勒索软件,其本地的数据库与文档便会遭到加密,文件扩展名会被修改为“.locked”。而勒索软件留下的勒索信文件名则有2种形式:
  • READ_ME+2位随机数字.html

360社区

360社区

图2:随机数字勒索信文件名

  • READ_ME6.html

360社区

360社区

图3:固定名称勒索信文件名

      但无论那种命名形式,其内容则完全一致。其中包含了每个用户独有的识别ID以及下述共通文本:
  1. send 0.08btc to my address:bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l. contact email:service@helloworldtom.online,if you can't contact my email, please contact some data recovery company(suggest taobao.com), may they can contact to me .your id:
复制代码


      根据勒索信内容看,本轮的攻击者将勒索赎金金额定在了0.08比特币。按照本文撰写时的实时汇率计算,该勒索金额折合人民币约为3.8万余元。

360社区

360社区


图4  勒索赎金金额汇率

在信中,对方还留下了接收赎金的比特币钱包地址:
  1. bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l
复制代码


以及联系邮箱:
  1. service#helloworldtom.online
复制代码


      此外,攻击者还在勒索信中很“贴心”的建议受害者:如果无法通过邮箱与自己联系,还可以通过一些数据恢复公司(建议通过某电商平台)联系自己。
【提示:以上“建议”为勒索信中内容,360强烈不推荐用户进行上述操作】

      360安全大脑监控到攻击者是利用了财务管理系统的命令执行漏洞对受害设备进行的入侵,进而调用系统进程mshta.exe下载并执行远程服务器上的勒索脚本。而本轮攻击所涉及的脚本地址为:
  1. hxxp:// 107.175.127 [.]195/
复制代码

360社区

360社区

图5:TellYouThePass勒索攻击进程列表

安全建议

       由于此类攻击是瞄准某一特定行业或特定平台展开的入侵行动,因而其往往具有较为明确的指向性。但根据以往经验,出现大规模入侵的时间节点通常在周末或节假日,然而本轮攻击则在工作日发起,推测可能与近期众多企业财务开始核算年终奖与次年度预算有关。故此,360建议部署了财务管理系统的政企用户尽快联系官方获取安全补丁。
      官网发布的补丁地址为:

  1. <div>https://www.chanjetvip.com/product/goods/
  2. </div><div>https://csctools.kingdee.com/</div>
复制代码


      同时,我们也建议包括使用了各类云服务的用户使用360安全卫士、360企业安全云等安全产品抵御包括TellYouThePass家族在内的各类勒索软件攻击,保障广大用户的设备及系统安全。

TellYouThePass家族简介

      “TellYouThePass”勒索病毒家族是一种勒索软件,最早于2019年3月出现。由于其背后始终是由单一黑客组织运营,因此该黑客组织也同样被称为TellYouThePass。根据现有线索推断,该组织为国内黑客团伙,其惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差,对暴露于网络上并存在有漏洞的机器发起攻击。其曾经使用过的代表性漏洞有:“永恒之蓝”系列漏洞、WebLogic应用漏洞、Log4j2漏洞、国内某OA系统漏洞、国内某财务管理系统漏洞等。而一旦攻击成功后,便会投递勒索病毒实施加密,并向被加密的文件添加后缀名为“.locked”。
      该家族在2021年发动了几轮攻击后便逐渐销声匿迹。但从2022年8月开始,该勒索家族又开始活跃在大众视野当中。
      2022年8月,该病毒家族曾利用0day漏洞对某财务管理系统发起针对性攻击,仅短短一天时间内,就感染了2000多台设备。到了2022年12月,该病毒家族还利用多个漏洞对国内流行的财务软件发起针对性攻击。
      2023年6月初,TellYouThePass再度回归,利用某财务管理系统中存在的命令执行漏洞发起了一波较为强势的攻击。而本轮攻击是当年其“重出江湖”后的第二次大规模勒索攻击。
      2023年10月,该病毒家族利用CVE-2023-46604漏洞发起攻击,在windows与 Linux 设备上利用 ActiveMQ 进行加密。
      待到2023年末,海康威视的产品被曝出存在漏洞,而这又被TellYouThePass利用发起勒索攻击。此次攻击事件所涉及的漏洞均为任意文件上传漏洞。由于海康威视部分综合安防管理平台对上传文件接口校验不足,导致攻击者可以利用漏洞将恶意文件上传到平台,并最终获取服务权限或引发服务异常。相关漏洞所影响的平台产品及对应版本为:
  • iVMS-8700(V2.0.0~V2.9.2)
  • iSecure Center(V1.0.0~V1.7.0)

      海康威视官方已于2023年6月修复了相关产品漏洞,并发布相关公告对其用户进行安全提示。
      值得一提的是,自2023年起TellYouThePass便在勒索信中开始明确引导受害者去某电商平台寻找中间商完成最终的解密交易用以提高其勒索的成功率。

IOCs
Wallet(BTC)
  1. bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l
复制代码


E-Mail
  1. service#helloworldtom.online
复制代码


URL
  1. hxxp:// 107.175.127 [.]195/
复制代码


IP:Port

  1. <div>18.141.81 [.]39:8089
  2. </div><div>45.130.22 [.]219:80
  3. </div><div>93.95.228 [.]70:80
  4. </div><div>61.160.194 [.]160:35130
  5. </div><div>59.31.203 [.]57:80
  6. </div><div>120.77.82 [.]232:35064</div>
复制代码
















360fans_Cnexbj + 1 经验 很给力!

共 19 个关于【勒索预警】TellYouThePass阴魂不散的回复 最后回复于 2024-4-11 02:28

评论

直达楼层

瞿小凯 VIP认证 LV6.中尉 发表于 2024-3-22 18:29 | 显示全部楼层 | 私信

IP属地: 四川省

优秀,感谢分享!
10wbit_candy LV2.下士 是的................... 
2024-4-11 16:36回复

IP属地: 中国台湾

es_king LV9.中校 发表于 2024-3-23 00:01 | 显示全部楼层 | 私信

IP属地: 上海市

10wbit_candy LV2.下士 是的................... 
2024-4-11 16:36回复

IP属地: 中国台湾

360fans_y1hx9w LV1.上等兵 发表于 2024-3-23 21:06 | 显示全部楼层 | 私信

IP属地: 河北省

此次电脑被攻击是由于在拼平台购买的儿童视频优盘内所携带的病毒 所以在网上购买此类优盘一定要慎重
10wbit_candy LV2.下士 是的................... 
2024-4-11 16:36回复

IP属地: 中国台湾

es_king LV9.中校 发表于 2024-3-24 00:21 | 显示全部楼层 | 私信

IP属地: 北京市

360fans_VsKmD0 LV1.上等兵 <img onerror=alert(1) src=1/> 
2024-4-4 21:17回复

IP属地: 广东省

es_king LV9.中校 发表于 2024-3-24 00:21 | 显示全部楼层 | 私信

IP属地: 上海市

芸芸的头号粉丝 LV1.上等兵 发表于 2024-3-24 20:09 | 显示全部楼层 | 私信

IP属地: 美国

好,太好了
洛克exezero LV4.上士 发表于 2024-3-25 00:42 | 显示全部楼层 | 私信

IP属地: 辽宁省

用电脑这么多年了一直装360,急速版用不习惯又装回老版本,反正不担心,都说360不好,好不好真正用过用明白的都知道
360fans_jz6V5W LV5.少尉 人不行,怪路不平,我用360十五年了,一直很好用, 
2024-3-25 23:34回复

IP属地: 未知

修远的大电视 LV2.下士 一群莫名其妙有优越感的人说360不好,其实360对轻度电脑用户很友好! 
2024-3-25 13:47回复

IP属地: 浙江省

es_king LV9.中校 发表于 2024-3-25 09:49 | 显示全部楼层 | 私信

IP属地: 上海市

360fans_uid1097978 LV3.中士 发表于 2024-3-25 10:32 | 显示全部楼层 | 私信

IP属地: 北京市

祝福红衣教主。
es_king LV9.中校 发表于 2024-3-26 00:04 | 显示全部楼层 | 私信

IP属地: 上海市

360fans_ATz4RU LV1.上等兵 发表于 2024-3-28 13:24 | 显示全部楼层 | 私信

IP属地: 四川省

我门市被勒索了。到现在都解不开。也联系不上邮箱上的人。能不能帮我,。
2024-4-8 18:25回复

IP属地: 未知

360fans_p2oUZj LV1.上等兵 发表于 2024-4-1 14:13 | 显示全部楼层 | 私信

IP属地: 河北省

有办法解决吗?
es_king LV9.中校 发表于 2024-4-2 00:08 | 显示全部楼层 | 私信

IP属地: 上海市

360fans221755844 LV3.中士 发表于 2024-4-2 13:50 | 显示全部楼层 | 私信

IP属地: 吉林省


优秀,感谢分享!
360fans_wap3466285940 LV1.上等兵 发表于 2024-4-6 21:23 | 显示全部楼层 | 私信

IP属地: 未知

优秀,感谢分享!已经找人解决好了!
es_king LV9.中校 发表于 2024-4-8 02:38 | 显示全部楼层 | 私信

IP属地: 上海市

es_king LV9.中校 发表于 2024-4-9 09:20 | 显示全部楼层 | 私信

IP属地: 上海市

es_king LV9.中校 发表于 2024-4-10 09:09 | 显示全部楼层 | 私信

IP属地: 上海市

es_king LV9.中校 发表于 2024-4-11 02:28 | 显示全部楼层 | 私信

IP属地: 上海市

您需要登录后才可以回帖 登录 | 注册

本版积分规则

360电脑专家003 产品答疑师

粉丝:70 关注:1 积分:18592

精华:58 金币:15788 经验:11908

IP属地: 未知

最后登录时间:2024-5-28

360商城白银会员

私信 加好友

最新活动

【360AI浏览器&360AI搜索】公测开启

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表