近期有不法分子伪装“税务稽查局客户端”发送钓鱼邮件，诱导用户关闭杀毒软件后安装木马程序“sw12366.exe”。该程序会释放伪装为IP-guard的控制组件，写入注册表实现自启动，并清除自身痕迹，具备隐蔽性和操控性。本篇文章由solar应急响应团队对样本行为进行逆向分析与流量溯源，揭示其伪装手段与控制流程，并提供全面的安全防护建议，帮助企业识别并防范此类高级钓鱼木马攻击。

whohk是一款由安全研究团队开发的Linux应急响应辅助工具，集成了账户排查、登录日志分析、进程路径查询、Webshell及恶意样本检测等多项功能，极大降低了Linux应急操作的门槛。通过命令行参数即可完成对系统运行状态、安全隐患、疑似入侵行为的快速检查，支持主流Linux发行版，附带详细使用教程与样例截图，适合一线安全人员与应急响应工程师使用。

本篇文章全面解析了GlobeImposter勒索病毒家族的传播方式、加密原理与逆向分析细节，展示了其通过弱口令与金万维异速联客户端实现免密远程桌面入侵的完整攻击链条。深入解读病毒加密器行为、注册表操作、权限维持与加密算法，辅以本地复现与溯源分析，帮助企业识别并防御此类高危勒索攻击。附带详细防护建议，提升网络安全应急响应能力。

本报告详细分析了Locked勒索病毒（TellYouThePass家族变种）在2024年利用PHP-CGI远程代码执行漏洞（CVE-2024-4577）发起的加密攻击过程，涵盖黑客攻击链、加密器行为、勒索信内容、漏洞原理及复现流程。同时提供了官方修复方案及缓解措施，结合Solar团队的应急响应与数据恢复流程，帮助企业全面理解并防范此类高危勒索攻击。

本文记录Solar应急响应团队处理一起NAS遭勒索病毒攻击的完整过程，详细还原黑客通过钓鱼邮件、木马植入等方式窃取账号密码并远程登陆NAS后台实施数据压缩加密的攻击链路。报告涵盖攻击路径溯源、加密文件分析、勒索信内容解读、解密恢复操作、后门排查及安全加固建议，为企业防范NAS类勒索攻击提供了可复制的实战经验参考。