据火绒安全实验室发布的消息,火绒监测到某勒索软件突然爆发,后门模块位于用友畅捷通 T+ 软件目录里。病毒爆发时间与用友畅捷通 T+ 软件升级模块时间很近,火绒安全实验室怀疑此安全问题可能是供应链攻击。 目前用友并未就该问题发布声明 , 因此还无法确定到底是供应链攻击还是通过其他方式劫持导致企业中毒的。 企业用户应提高警惕: 使用用友畅捷通的主要都是企业,而且存储的可能都是财务之类的重要信息,中毒后被加密可能会有大麻烦。 火绒经过研究发现黑客首先会通过漏洞或其他方式向受害者终端投放后门模块,然后通过后门模块执行代码。 之后通过后门模块在内存中加载并执行勒索病毒,当文件被加密后黑客在勒索信里要求企业支付 0.2 比特币。 该病毒被命名为FakeTplus,也就是根据用友畅捷通T+来命名的,目前火绒安全软件已经可以成功查杀病毒。 使用畅捷通的企业可以在升级前安装火绒杀毒,这样如果升级时仍然存在安全问题火绒会直接杀掉这个后门。 疑似有企业支付赎金: 蓝点网查询火绒提供的勒索信,发现里面黑客留的地址已经开始有交易记录,交易记录时间与病毒投放吻合。 该地址有4次交易记录,有1次是笔0.2 BTC 转账,这意味着已经有受害企业向黑客支付赎金以换取解密密钥。 考虑到黑客可能会给每个受害者留不同的地址因此更难以追查,也无法判断黑客到目前已经收到多少比特币。
