股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
警惕新威胁!Sorry勒索攻击来袭,拆解TellYouThePass家族全新变种
发布时间 :2026年05月28日
类型 :公司新闻
分享:
2026年3月以来,亚信安全持续观察到一批以 .sorry 为加密后缀、以 ReadMe.md 为勒索提示文件的勒索软件样本活动。结合样本静态特征、行为链路及历史家族特征对比,当前可将其视为与 TellYouThePass 家族存在较强关联的新变种。从已获取样本看,该类样本具备典型的勒索攻击能力,包括远程载荷投递、目标环境探测、数据库服务停止、文件遍历加密、勒索提示释放以及回连信息上报等行为。
家族背景与溯源
TellYouThePass 家族简介
TellYouThePass 勒索软件家族最早于2019年被安全研究人员发现,以热衷于利用"当红"漏洞进行批量传播著称。该家族多年来活跃于网络威胁生态,攻击目标广泛覆盖政府、金融、医疗、制造等多个行业。
历史样本中,该家族曾利用用友NC文件上传/反序列化漏洞、Apache Log4j RCE(CVE-2021-44228)、ActiveMQ RCE(CVE-2023-46604)等高危漏洞实施大规模攻击。加密算法方面,该家族一贯采用RSA + AES 的混合加密模式,被加密文件在没有攻击者私钥的情况下暂无法恢复。
Sorry 变种演进分析
从当前样本表现来看,Sorry变种在功能上相较于该家族历史版本有显著演进。
攻击链全景分析
攻击链全景流程图
以下流程图展示了 Sorry 勒索软件从初始入侵到完成加密的完整攻击链路。
初始访问——漏洞利用
Sorry 勒索软件采用「漏洞自动化批量投放」策略,通过扫描互联网侧暴露的企业服务组件,利用其中已知高危 RCE 漏洞获取远程代码执行能力。攻击者入侵成功后,立即触发远程命令以拉取下一阶段载荷,整个过程全程自动化,无需人工干预,可在极短时间内完成大规模批量攻击。
载荷投递——远程 MSI
勒索主程序以 MSI 安装包形式封装,托管于攻击者控制的阿里云 OSS 存储桶中。利用合法云存储平台托管恶意载荷,可有效规避基于域名信誉的安全过滤机制,提升载荷投递成功率。
服务破坏——停止数据库服务
勒索主程序执行后首要动作为定向停止 Microsoft SQL Server 相关服务。此举目的明确:数据库进程持有数据库文件的独占句柄,直接加密会因文件被占用而失败。通过预先停止服务,勒索软件可完整加密数据库文件,最大化受害者的数据损失。
对抗检测技术
Sorry 变种引入了以下主要对抗检测手段,是其区别于早期版本的重要技术标志:
加密算法深度解析
三层混合加密架构
Sorry勒索病毒表现出复杂的分层密钥封装设计特征。分析显示,其可能采用了类似“高效对称算法加密文件+非对称算法封装密钥”的组合模式,且密钥管理结构较为复杂,疑似存在多层封装,这在兼顾批量加密速度的同时,大幅提高了受害者在无攻击者主私钥的情况下直接恢复文件的难度。
加密文件结构
加密后的文件结构固定可识别,包含:
Magic头部(1字节,固定0x11)
CHUNK长度值(4字节,大端顺序)
RSA封装块(前置4字节长度值+密文块)
各数据区域独立分块的CHUNK_CIPHER
终止数据(4字节,固定0x00填充)
加密目录白名单
样本在加密前会停止关键数据库服务,包括MySQL、Oracle、PostgreSQL等,以防止文件被占用影响加密操作。同时,样本会排除特定目录和文件,避免加密系统关键文件导致异常:
排除的目录:\windows、\git\mingw64、\go\src、\java\jdk、\vmware\drivers等
排除的文件:thumbs.db、netuser.dat、autorun.inf、desktop.ini、pagefile.sys等
加密目标文件类型
Sorry 变种的加密目标覆盖范围极广,对企业核心数据的威胁严重。以下为主要加密目标类型分类:
信息窃取与C2通信
受害者指纹生成
Sorry 变种为每台受害主机生成唯一身份指纹,供攻击者运营侧精确管理受害者并对应解密密钥。指纹计算逻辑如下:
采集信息:主机名(HOSTNAME)+ 用户名(USERNAME)+ CPU 型号(PROCESSOR_IDENTIFIER)+ CPU 核心数(NUMBER_OF_PROCESSORS)+ 系统盘符(SystemDrive)
计算方式:对上述拼接字符串执行 SHA-256 哈希运算
取值:截取前 16 字节,输出为 32 位小写十六进制字符串作为唯一指纹
C2 回传机制
勒索软件加密完成后,向C2服务器发起HTTP GET请求,存在利用User-Agent等请求头字段回传统计信息的特征,以此规避部分基于请求体内容的流量检测机制。
MITRE ATT&CK 战术技术映射
受影响范围以及风险评估
高风险目标
互联网侧存在未修补 RCE 漏洞的企业应用系统(ERP、OA、统一远程接入等);
内网 MSSQL 数据库服务器及附属文件服务器;
存在弱口令账户或未限制 SSH 访问的 Linux 服务器;
备份系统与生产环境网络未做有效隔离的组织机构。
攻击时间规律
在已观测到的部分案例中,攻击发生在周末或节假日。这提示防守方,在安全值守可能薄弱的高风险时段,应提高对类似勒索活动的监测与响应优先级。
亚信安全解决方案
“Sorry”勒索病毒主要利用企业对外暴露的、未修补的高危漏洞作为初始入侵点。亚信安全的防护策略是 “收敛攻击面,前置拦截”。
云主机安全(Deep Security)
虚拟补丁(前置拦截):针对Sorry病毒利用RCE等高危漏洞作为初始入侵点的策略,Deep Security通过资产清点自动识别系统漏洞,在官方补丁安装前提供虚拟补丁防护,前置拦截漏洞利用行为。
行为识别和阻断:针对其规避传统检测的加密行为,通过监控进程文件操作。一旦检测到相关典型勒索行为,无需依赖病毒特征即可实时中断恶意进程。
主机微隔离和主机防火墙:提供网络级的微隔离能力,在单机失陷时迅速阻断东西向流量,防止勒索软件在内网进行横向扩散。
亚信安全高级威胁检测系统(TDA):
恶意流量检测:基于威胁情报,主动拦截终端对报告中涉及的恶意C2服务器(如209.97.175.77)。
亚信安全终端安全(AISTrustOne)
内网失陷主机隔离:一旦通过行为分析判定某主机为失陷源,可一键通过网络隔离、进程终止等方式阻断其继续内网扩散。
AI行为模型实时阻断:此为核心防护能力。通过机器学习模型实时监控进程对文件系统的操作序列。当检测到某进程在极短时间内对大量文件(尤其是文档、数据库等格式)进行“读取-写入-修改扩展名”的典型勒索加密行为时,无需依赖病毒特征,即可实时中断该恶意进程,阻止文件被加密。
亚信联动防御系统(AI XDR)
自动化威胁狩猎与响应:作为防护体系的“智能大脑”,AI XDR平台自动聚合来自AISTrustOne、TDA、DDEI等产品的告警日志,通过关联分析快速呈现从漏洞利用到数据加密的完整攻击链。可自动或一键下发剧本化响应指令,如隔离终端、阻断IP、吊销会话等,实现分钟级的威胁闭环处置。
核心检测能力:
梦蝶增强型病毒扫描特征码版本2.0.0.253、云端云查已经可以检测报告中提及的勒索样本;
云病毒码版本20.957.71,传统病毒码版本20.957.60已经可以检测报告中提及的勒索样本。
海鸥动态行为规则库版本5.1.0.058已经可以检测报告中提及的勒索样本。
威胁情报云查可以检测报告中提及的IOC。
防御建议与应对措施
鉴于 Sorry 勒索软件的攻击特征,建议各组织机构从漏洞收敛、访问控制、终端防护、备份与应急响应四个维度构建纵深防御体系。
感染后应急处置流程
立即断网隔离受感染主机,防止勒索软件经 SSH/SMB 横向扩散;
评估感染范围,排查同网段其他主机是否存在相同加密特征(.sorry 后缀文件);
保留受感染系统的内存镜像及磁盘镜像,供后续取证分析使用;
核查备份完整性,优先从最近的干净备份中恢复业务;
排查并修复初始入侵漏洞,消除攻击者可能残留的后门及持久化机制;
向相关监管机构上报事件,并保留相关证据材料。
总结
Sorry勒索软件在攻击手法、加密模式等多个维度上与TellYouThePass家族表现出强关联性,当前样本在维持该家族一贯攻击风格的基础上,于多个技术维度实现了显著升级:复杂的密钥封装机制强化了密钥管理安全性;NTAPI直接调用有效规避了主流EDR产品的监控;远程MSI载荷投递与云存储托管的组合绕过了传统域名信誉检测。
随着勒索软件攻击技术的持续演进,单一的防御手段已难以应对此类复合型威胁。各组织机构应将漏洞管理、访问控制、终端行为检测、数据备份与安全运营能力纳入一体化安全框架,并保持对最新威胁情报的持续关注,以构建真正有效的勒索防御能力。
附录 威胁指标(IOC)
? 文件哈希
? 网络指标
分享到微信
X