本篇文章全面解析了GlobeImposter勒索病毒家族的传播方式、加密原理与逆向分析细节，展示了其通过弱口令与金万维异速联客户端实现免密远程桌面入侵的完整攻击链条。深入解读病毒加密器行为、注册表操作、权限维持与加密算法，辅以本地复现与溯源分析，帮助企业识别并防御此类高危勒索攻击。附带详细防护建议，提升网络安全应急响应能力。

本报告详细分析了Locked勒索病毒（TellYouThePass家族变种）在2024年利用PHP-CGI远程代码执行漏洞（CVE-2024-4577）发起的加密攻击过程，涵盖黑客攻击链、加密器行为、勒索信内容、漏洞原理及复现流程。同时提供了官方修复方案及缓解措施，结合Solar团队的应急响应与数据恢复流程，帮助企业全面理解并防范此类高危勒索攻击。

本文记录Solar应急响应团队处理一起NAS遭勒索病毒攻击的完整过程，详细还原黑客通过钓鱼邮件、木马植入等方式窃取账号密码并远程登陆NAS后台实施数据压缩加密的攻击链路。报告涵盖攻击路径溯源、加密文件分析、勒索信内容解读、解密恢复操作、后门排查及安全加固建议，为企业防范NAS类勒索攻击提供了可复制的实战经验参考。

近期，solar勒索解密团队处理了多起因钓鱼攻击引发的 TellYouThePass 勒索病毒感染事件。攻击者通过微信、QQ、邮箱等社交方式投递带有“人社部文件”伪装名称的木马文件，专门诱骗财务人员点击执行，随后通过远控木马释放勒索组件，对主机数据进行加密，文件后缀被修改为“.locked”，并留下 READ_ME6.html 勒索信，要求支付0.08 BTC赎金。病毒执行链利用VBScript嵌入HTA文件实现反序列化加载核心逻辑，同时加密器使用RSA+AES组合算法加密，具备进程终止、数据破坏、勒索信生成、后门通信等多重功能。该勒索病毒无公开解密工具，极可能由国人团队操控。文章深入还原病毒

攻击者利用 PHP 远程代码执行漏洞（CVE-2024-4577）在受影响的 XAMPP 服务器上获取管理员权限，下载并执行恶意木马，实现服务器完全控制。此漏洞主要影响 Windows 环境下的 PHP CGI 组件，黑客可绕过安全机制执行任意代码。企业应尽快升级 PHP 版本、关闭不必要的 CGI 组件，并部署 WAF 防御，防止类似攻击。