勒索软件一直是系统安全的重灾区。其中Tellyouthepass勒索软件更是知名的头部勒索软件家族,曾多次占据国内勒索软件流行榜的榜首位置,尤其擅长利用Web应用漏洞对运行应用的服务器发起勒索攻击,并对文件进行加密,进而勒索用户支付费用进行解密。尤其是2020年到2022三年间,Tellyouthepass勒索软件家族利用各种漏洞发动的勒索攻击,已对不少企业造成不小的损失。
今年5月以来,Tellyouthepass再次抬头,连续发动大规模的勒索攻击。5月6日某NC服务器软件遭受Tellyouthepass攻击,其利用NC accept接口文件上的漏洞,向受攻击的服务器上传冰蝎WebShell,进而接收攻击者发送的恶意模块,并将恶意模块加载进内存中执行,然后释放勒索软件代码。5月15日亿赛通电子文档安全管理系统也同样遭到入侵,瞄准的还是已经被厂商修补却未及时安装更新补丁的程序。在同样的入侵方式后,Tellyouthepass更是学会了避开很多传统安全软件检测的能力,进而造成结束特定服务器进程、删除用户备份、跳过某些关键目录等常规操作,最终通过RSA+AES两种算法实现对文件的最终加密行为,以实现勒索的目的。
从5月的这两次攻击可以发现,其攻击方式都集中针对于企业的服务器或管理系统一类对外公共设备,对此360安全大脑也提醒政企单位的服务器运营维护人员,除了进行较为常规的安全防护外,也需要重点关注以下安全防护要求:
首先,对于无需对公网开放的服务,建议将其架设至内网,或设置访问限制,以减少来自互联网的网络攻击。其次,管理员应定期检查搭建的各类Web应用,并及时关注官方补丁的发布情况,尽早完成安全补丁的更新。
对于企业用户,建议使用360企业安全云,其针对服务器的保护功能,以及对漏洞的防御功能,可以有效缓解和抵御各类利用Web应用漏洞进行勒索投毒的攻击,保障服务器安全。如果是已经中招的设备,可以使用360企业安全云查杀勒索软件,对系统进行安全加固。对于个人用户,也建议避免打开非可信来源的邮件附件或点击其中的链接,以及社交媒体分享的来源不明的链接。
面对Tellyouthepass勒索软件的再度抬头,360企业安全云和360安全卫士建议广大机构、企业和个人建立全面的数字安全防御体系,正确安装安全防护软件,以免重要数据泄露而产生不可逆的损失。