通过检查样本中提取的比特币钱包交易记录，发现在3月20日和21日可能有两名受害者向“tellyouthepass”团伙支付了赎金。

攻击流程分析

攻击者通过自动化的漏洞利用工具，扫描是否存在可以被利用的外部服务，通过漏洞执行外部恶意脚本，通过反射加载核心模块。该模块集成了多种开源提权模块，和EDR致盲项目。所有的模块通过反射加载或内存注入的方式进行。

样本逻辑分析

攻击链起始于一个名为d.hta的恶意脚本，内部嵌入了base64加密后的序列化.net类。

加载的反射类首先会尝试通过内置的开源Windows 提权模块提权，如果所有的提权尝试都失败了，程序就会直接停止运行。

内置的提权模块有BadPotato，EfsPotato，GodPotato，PingCastle，Potato，PrintNotifyPotato，PrintNotifyPotato，PrintNotifyPotato。

然后在temp路径下释放2个带有合法签名白文件，其文件的CueckSum字段是随机生成的，这样就可以在不影响签名有效性的前提下实现了后续Shellcode 宿主进程文件的多态化。随后启动释放的文件，注入Shellcode代码并执行。

被注入的模块来自开源EDR的致盲项目RealBlindingEDR，能致盲多种安全软件。

随后释放加密后的勒索模块，和相应的解密模块。加密和解密使用的密钥是在运行中生成的，并通过命令行参数传递给解密程序，解密程序负责启动勒索模块。

解密模块通过传入的密钥参数解密勒索模块并反射加载调用勒索模块。

解密模块通过传入的密钥参数解密勒索模块并反射加载调用勒索模块。

勒索病毒的配置信息如下，加密后缀lock1，勒索信名为"READ_ME5.html。

URL

107.175.127.195：80

HASH

48f1495b4e7801352b56cb7baa5c27a9

25753e9136077d46199bfb3fa1311bfd

2539b7b9d1b88d613126e9968a52787b

6a450113e6b097a0ea07593b7b606790

BTC ADDR

bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l

官方已经发布最新补丁修改该漏洞，请受影响的用户及时更新最新补丁，参考链接：

https://vip.kingdee.com/article/388994085484889344?productLineId=1&isKnowledge=2

1. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

2. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

3. 使用官方和经过验证的下载渠道，使用正版开发人员提供的工具/功能激活和更新产品，不建议使用非法激活工具和第三方下载器，因为它们通常用于分发恶意内容。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，aES全新上线“动静态双AI引擎”，静态AI能够在未知勒索载荷落地阶段进行拦截，动态AI则能够在勒索载荷执行阶段进行防御，通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护；但建议更新最新版本，取得更好防护效果。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSS安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。