关于“TellYouThePass 勒索软件利用最近的 PHP RCE 漏洞破坏服务器”的分析

　　近年来，网络安全事件频发，勒索软件成为了其中最为猖獗的威胁之一。近期，TellYouThePass 勒索软件利用 PHP 中的远程代码执行(RCE)漏洞，成功破坏了多个服务器，造成了严重的损失。

　　一、基本内容

　　“TellYouThePass”是一种自2019年以来一直活跃在网络空间的勒索软件，它主要针对Windows和Linux系统发起攻击。近期，该勒索软件被发现利用PHP中的远程代码执行(RCE)漏洞来破坏服务器，造成了严重的安全威胁。

　　二、相关发声情况

　　Imperva Threat Research 在其博客文章中指出，攻击者利用了高严重性的 PHP 漏洞 CVE-2024-4577，该漏洞在 PHP 维护人员发布补丁后不久就被利用。此外，台湾安全企业戴夫寇尔也对此次事件提出了警告，呼吁网站管理者尽快修补漏洞或采取缓解措施。

　　同时，受害者在安全新闻网站Bleeping Computer 的论坛上分享了自己的经历。他们表示，攻击者利用漏洞成功入侵了他们的服务器，并部署了 TellYouThePass 勒索软件。攻击者向受害者勒索了 0.1 个比特币(相当于 6,742 美元)以恢复数据。

　　三、分析研判

　　TellYouThePass勒索软件专门针对Windows和Linux系统发起攻击, 从PHP维护人员发布补丁到攻击者利用漏洞进行攻击,仅仅不到48小时，由于PHP的广泛应用，攻击者能够轻易找到存在漏洞的服务器进行攻击;一旦服务器被攻击者控制并部署了勒索软件，用户数据将面临被加密和泄露的风险;此外，服务器硬件也可能受到破坏，导致业务中断和数据丢失。

　　网络犯罪分子对漏洞的利用速度非常快，这对安全团队要求更加严格，并需要密切关注并及时修补漏洞，预防网络安全事件的发生。

　　四、应对策略

　　通过该事件，安全团队应密切关注安全公告和漏洞信息，一旦发现漏洞，应立即修补并更新系统补丁。同时，应定期进行安全审计和漏洞扫描，确保系统安全。并限制对服务器的访问权限，确保只有经过授权的用户才能访问服务器。

　　建立有效的数据备份机制，确保在服务器遭受攻击时能够迅速恢复数据。此外，应定期备份服务器硬件和系统配置信息以防止硬件损坏或系统崩溃。