机械荟萃山庄

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 52|回复: 0

国产Sorry勒索病毒疯狂进攻国产财务ERP系统

[复制链接]

2万

主题

3万

帖子

22万

积分

超级版主

Rank: 8Rank: 8

积分
222619
发表于 昨天 15:13 | 显示全部楼层 |阅读模式
风险等级:最高危
高发时段:2026年3月–7月持续爆发
受害重灾区:制造、商贸、外贸、代账、中小微企业
Sorry 后缀勒索病毒隶属于TellYouThePass 老牌勒索家族,是本年度国内制造业、商贸零售、工程、医药行业高发高危勒索变种,依托 RaaS 黑产租赁模式快速扩散,病毒团伙擅长本土化漏洞利用,优先挖掘国内 ERP、远程接入软件、OA 系统老旧漏洞实施精准入侵。该病毒区别于传统勒索程序,采用RSA+RSA+AES-GCM 三层混合加密架构,密钥由系统随机生成,无公开通用解密密钥,被加密文件统一追加.sorry 后缀,配套 ReadMe.md 勒索文档索要虚拟货币赎金,拒绝付费则打包企业涉密数据进行黑市售卖,实行加密锁机 + 数据外泄双重勒索模式。

近期多地工信、网安部门下发专项预警!和境外病毒不同,它极其“懂国内企业”,不盲目攻击大厂,专门盯着小微企业的财务服务器、ERP账套、进销存系统下手。无数企业一觉醒来,金蝶、用友、管家婆全部瘫痪,全年账务、客户资料、订单数据被锁,停工停产、面临泄密,损失惨重。

很多老板、运维以为勒索病毒都是外来攻击,殊不知本次爆发的Sorry病毒是纯本土黑产运营。
团伙深耕国内中小企业运维现状,精准拿捏小微企业安全短板,攻击套路完全本土化:
只针对部署金蝶、用友、管家婆、异速联的中小企服务器,几乎不攻击大型企业。
加密文件后缀变为:【原文件名】.【主机ID】.sorry
桌面自动生成中文勒索文件,沟通、勒索流程全部适配国内用户。
区别于单一加密病毒,它是先偷数据、再锁数据。
加密系统前,病毒会自动窃取对公账户流水、客户开票信息、供应商底价、全年税务台账。
不付赎金就暗网公开售卖,企业同时面临业务瘫痪+商业泄密+税务风险三重重创。

结合近期上百起应急响应案例,本次病毒几乎不依靠复杂漏洞,专挑企业“懒得维护”的薄弱点突破。
大量小微企业为了远程做账,仍在使用2020年前老旧版本异速联,且直接对公网开放端口。
该版本存在无账号远程代码执行漏洞,黑客扫描端口即可上传恶意程序,拿到服务器最高权限,全程无感知入侵。

管家婆默认开放211端口,存在零门槛远程命令执行漏洞。
最恐怖的是:入侵全程不生成系统日志,运维根本查不到攻击记录,病毒静默潜伏、批量加密数据。

黑客定向针对出纳、财务人员投递伪装文件:
税务通知、社保回执、供应商报价单、电子发票压缩包。
打开即后台植入后门,长期潜伏,择机批量加密全盘数据。

服务器3389、1433、22端口裸奔,使用123456、公司名、年份等弱口令,被批量爆破入侵投毒。
这款病毒的本土化黑产团伙极其成熟,入侵后会执行一套断后路操作,让企业几乎无法自主恢复。
自动删除系统卷影副本,彻底禁用系统还原
强制终止360、火绒、系统 Defender 安全进程
篡改hosts文件,屏蔽所有安全救援、解密工具网站
清空系统日志,完全消除攻击溯源痕迹
内网横向扩散,一台中招,全厂电脑、服务器全部沦陷
简单来说:一旦中招,无离线备份=数据基本报废。

珠三角智能制造工厂全线服务器遭 Sorry 加密停产事故(2026 年 3 月)
广东东莞一家五金智能制造企业,厂区 5 台生产服务器、财务 ERP 服务器统一部署老旧版金万维异速联用于异地远程运维,未升级补丁、3389 端口全网对公网开放,运维账号设置 123456 简易密码。黑客通过漏洞爆破单点入侵财务主机后,借助内网弱口令横向渗透全服务器,2 小时内全厂 CAD 生产图纸、金蝶 K3 财务账套、进销存生产单据全部变为.sorry 格式,生产线无法调取生产资料被迫全线停工,单日直接停工损失超 20 万元,黑客勒索 0.8 枚比特币赎金,企业本地备份同步被病毒清除,无离线异地备份陷入两难。 企业初期自行尝试重装系统、修改后缀、网络免费解密工具修复,多次操作覆盖磁盘底层碎片,进一步加大数据损毁程度。

华东连锁医药零售管家婆系统勒索事件(2026 年 4 月)
上海连锁药房企业,全门店管家婆千方百剂财务系统部署在单台云服务器,使用老旧 Windows Server2012 系统,未修复系统高危漏洞,云服务商快照备份和业务主机处于同一内网环境。Sorry 病毒利用网站组件漏洞入侵后,同步加密业务数据与云端快照备份,近 3 年药品进销存、会员数据、财务结算账套全被锁定,18 家线下门店无法正常开单结算,黑客要挟 3 万余元赎金,逾期曝光会员隐私信息。

商贸企业案例
无离线备份,被迫支付1.7万赎金,付款后仅恢复部分数据,客户资料依旧泄露。

一旦发现文件后缀变为.sorry,立刻执行以下操作:
第一时间断网,拔掉服务器、财务电脑网线,关闭WiFi,阻止病毒内网扩散。

禁止重启、断电、格式化,重启会销毁关键恢复痕迹,大幅降低数据恢复概率。

禁止手动改后缀、删文件,会破坏数据库结构,导致永久无法恢复。

绝对不要随意付赎金,90%企业付款后被二次勒索、黑客失联,且数字货币交易存在合规风险,数据依旧会泄露。

立刻自查加固
淘汰2020年前老旧异速联版本;关闭管家婆211、数据库1433、远程3389高危公网端口;财务系统禁止裸奔公网。
所有服务器、财务设备设置16位以上复杂密码,关闭匿名访问,杜绝弱口令。
财务服务器单独划分内网区域,禁止办公终端直接访问核心数据库,防止横向感染。
严格执行3-2-1备份原则
3份数据副本、2种存储介质、1份离线异地备份。
每日自动备份账套,备份设备定期断网离线,从根源杜绝勒索锁死风险。
禁止财务人员打开陌生发票、税务、报价单压缩包,拦截钓鱼邮件与不明文件。

对于中小企业而言,网络安全从来不是空话,而是直接关联生存的底线。
Sorry勒索病毒专攻小微企业安全短板,利用老旧系统、裸奔端口、薄弱意识持续收割。
一次入侵,就可能造成停工停产、数据泄露、经济损失、口碑崩塌多重重创。
提前自查、及时加固、做好离线备份,才是最便宜、最有效的防护手段。
建议各位老板、运维、财务负责人,今日内立刻完成全员自查与系统加固!


点评
中小企业的真实处境
安全建议是 "请配备专业安全团队" ,但中小企业实际是没有专职IT,老板/会计/网管是同一人;
安全建议是"请部署独立服务器+网络隔离",但中小企业实际是金蝶用友管家婆装在老板办公室那台Windows电脑上;
安全建议是"请启用多因素认证",但中小企业实际是密码是123456或者公司电话;
安全建议是 "请执行3-2-1备份策略" ,但中小企业实际是备份?硬盘坏了再说;
安全建议是 "请采购XX安全产品,年费X万",但中小企业实际是一年净利润可能就几十万;
安全建议是 "请及时修补CVE-XXXX-XXXX" ,但中小企业实际是被黑了才知道Log4j是什么。

TellYouThePass 勒索家族该病毒采用 Golang 语言开发,从诞生之初就实现了 Windows、Linux 双平台原生支持,两个平台均有独立的加密程序,加密算法与勒索逻辑完全一致,目前均无公开解密方案。
本轮在国内中小微企业中集中爆发的本土化 Sorry 勒索病毒,同样具备成熟的跨平台攻击能力:
Windows 版本主要利用 Borland Socket Server 组件漏洞,定向攻击金蝶、用友、管家婆等国产管理软件,也就是官方预警中提到的 “专攻财务 ERP、进销存系统” 的主要传播路径;
Linux 版本已被多家安全厂商正式捕获验证,2026 年 5 月曾利用 cPanel/WHM 的身份验证绕过漏洞(CVE-2026-41940)发起全球批量攻击,短短数天内就有超过 4.4 万个 Linux 服务器 IP 被入侵加密 。

“Linux 免疫勒索病毒” 是典型的认知误区,针对这款本土化勒索病毒而言,纯 Linux 环境甚至可能面临更高的入侵风险,核心原因有三点:
这款病毒的主要传播方式是服务漏洞利用、远程服务弱口令爆破、WebShell 植入,并不依赖 Windows 特有的宏病毒、可执行文件附件等渠道。
只要 Linux 服务器上运行的 Web 服务、数据库、主机管理面板、SSH 远程登录存在未修复漏洞或弱口令,攻击者就能直接获取系统权限,投放 Linux 版本的勒索病毒加密所有业务数据。国内很多企业的 ERP、财务系统服务器本身就部署在 Linux 上,账套、数据库文件被加密后的业务损失与 Windows 场景完全一致。
绝大多数中小微企业的 Linux 服务器不会部署终端安全防护软件,系统补丁、业务组件补丁更新不及时,SSH、数据库、管理面板端口常直接暴露在公网,且普遍存在弱口令问题,反而比 Windows 桌面更容易被攻击者批量扫描入侵。
该类勒索病毒普遍具备内网横向移动能力,一旦内网中有一台 Linux 主机被攻破,攻击者可以通过 SSH 密码爆破、内网服务漏洞等方式遍历并感染内网所有 Linux 服务器与桌面设备,造成全域数据加密、业务全面瘫痪 。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|Archiver|机械荟萃山庄 ( 辽ICP备16011317号-1 )

GMT+8, 2026-7-14 04:52 , Processed in 0.078263 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表