TellYouThePass 勒索家族该病毒采用 Golang 语言开发,从诞生之初就实现了 Windows、Linux 双平台原生支持,两个平台均有独立的加密程序,加密算法与勒索逻辑完全一致,目前均无公开解密方案。
本轮在国内中小微企业中集中爆发的本土化 Sorry 勒索病毒,同样具备成熟的跨平台攻击能力:
Windows 版本主要利用 Borland Socket Server 组件漏洞,定向攻击金蝶、用友、管家婆等国产管理软件,也就是官方预警中提到的 “专攻财务 ERP、进销存系统” 的主要传播路径;
Linux 版本已被多家安全厂商正式捕获验证,2026 年 5 月曾利用 cPanel/WHM 的身份验证绕过漏洞(CVE-2026-41940)发起全球批量攻击,短短数天内就有超过 4.4 万个 Linux 服务器 IP 被入侵加密 。
“Linux 免疫勒索病毒” 是典型的认知误区,针对这款本土化勒索病毒而言,纯 Linux 环境甚至可能面临更高的入侵风险,核心原因有三点:
这款病毒的主要传播方式是服务漏洞利用、远程服务弱口令爆破、WebShell 植入,并不依赖 Windows 特有的宏病毒、可执行文件附件等渠道。
只要 Linux 服务器上运行的 Web 服务、数据库、主机管理面板、SSH 远程登录存在未修复漏洞或弱口令,攻击者就能直接获取系统权限,投放 Linux 版本的勒索病毒加密所有业务数据。国内很多企业的 ERP、财务系统服务器本身就部署在 Linux 上,账套、数据库文件被加密后的业务损失与 Windows 场景完全一致。
绝大多数中小微企业的 Linux 服务器不会部署终端安全防护软件,系统补丁、业务组件补丁更新不及时,SSH、数据库、管理面板端口常直接暴露在公网,且普遍存在弱口令问题,反而比 Windows 桌面更容易被攻击者批量扫描入侵。
该类勒索病毒普遍具备内网横向移动能力,一旦内网中有一台 Linux 主机被攻破,攻击者可以通过 SSH 密码爆破、内网服务漏洞等方式遍历并感染内网所有 Linux 服务器与桌面设备,造成全域数据加密、业务全面瘫痪 。