黑客day0，Tellyouthepass勒索病毒行使永恒之蓝破绽来袭，已有企业受害-黑客业务

WatchBogMiner木马发起漏洞攻击，已控制上万台Linux服务器挖矿

【文章摘要】腾讯平安威胁情报中心在例行风险文件排查历程中，发现Tellyouthepass勒索病毒变种活跃。攻击者行使压缩工具打包exe的方式，将ms16-032内核提权破绽行使模块、永恒之蓝内网扩散模块集成到勒索攻击包中，以实现内网蠕虫式病毒流传。若企业未实时修补破绽，可能造成严重损失。腾讯电脑管家可查杀Tellyouthepass勒索病毒。

一、概述

腾讯平安威胁情报中心在例行风险文件排查历程中，发现Tellyouthepass勒索病毒变种活跃。攻击者行使压缩工具打包exe的方式，将ms16-032内核提权破绽行使模块、永恒之蓝内网扩散模块集成到勒索攻击包中，以实现内网蠕虫式病毒流传。若企业未实时修补破绽，可能造成严重损失。众所周知，WannaCry病毒事宜就是勒索病毒行使永恒之蓝破绽举行蠕虫化流传制造的网络灾难。只是幸运的是，永恒之蓝破绽究竟已经修补3年多了，未修复该破绽的Windows系统只占少数。

查看Tellyouthepass勒索病毒用于买卖的比特币钱包地址，发现近期已发生多笔买卖，钱包当前余额0.69比特币。由于该勒索病毒使用了RSA+AES的方式对文件举行加密，被病毒加密后文件暂无法解密。同时具备蠕虫病毒攻击能力的勒索病毒极易在存在弱点的企业内网广泛流传，我们提醒各政企机构高度小心。腾讯电脑管家可查杀Tellyouthepass勒索病毒。

二、平安建议

凭据该勒索病毒的特征，腾讯平安专家建议相关企业和个人用户参考以下建议强化网络抗攻击能力，修复高危破绽，制止内网遭遇攻击而造成无法挽回的损失：

企业用户：

1、只管关闭不需要的端口，如：445、135，139等，对3389，5900等端口可举行白名单设置，只允许白名单内的IP毗邻上岸。

2、只管关闭不需要的文件共享，若有需要，请使用ACL和强密码珍爱来限制接见权限，禁用对共享文件夹的匿名接见。

3、接纳高强度的密码，制止使用弱口令密码，并定期替换密码。建议服务器密码使用高强度且无规律密码，而且强制要求每个服务器使用差别密码治理。

4、对没有互联需求的服务器/工作站内部接见设置响应控制，制止可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）举行定期非内陆备份。

6、教育终端用户郑重下载生疏邮件附件，若非需要，应克制启用Office宏代码。

7、在终端/服务器部署专业平安防护软件，Web服务器可思量部署在腾讯云等具备专业平安防护能力的云服务。

8、建议全网安装腾讯T-Sec终端平安治理系统（御点）（https://s.tencent.com/product/yd/index.html）。御点终端平安治理系统具备终端杀毒统一管控、修复破绽统一管控，以及计谋管控等全方位的平安治理功效，可辅助企业治理者周全领会、治理企业内网平安状态、珍爱企业平安。

个人用户：

1、启用腾讯电脑管家（https://guanjia.qq.com/），勿随意打开生疏邮件，关闭Office执行宏代码；

2、使用腾讯电脑管家或Windows Update扫描修复系统破绽；

3、启用腾讯电脑管家的文档守护者功效，行使磁盘冗余空间自动备份数据文档，纵然发生意外，数据也可有备无患。

三、样本剖析

完整攻击行使包是一个使用压缩工具打包的exe执行程序，运行后会首先执行其包中的run_update.bat剧本。

run_update.bat剧本则进一步以awindows_privedge.exe作为父历程启动其它两模块

awindows_privedge.exe为ms16-032内核提权破绽行使程序，攻击者试图以SYSTEM权限执行其它攻击模块，从而到达勒索加密文件覆盖面更广，内网扩散攻击历程更稳固的效果。

Lantools_exp.exe是一个Python打包的exe程序，解包反编译后可知该模块为针对smb举行攻击行使的工具集，其中包含了对smb服务的远程探测，smb登录psexec下令执行，端口扫描，http服务搭建等功效，同时该工具包含了永恒之蓝破绽高危破绽（MS17-010）的攻击行使，该模块运行后将举行内网蠕虫扩散debug.exe病毒模块。