發(fā)布時(shí)間：2022-08-30 16:39:57  訪問次數(shù)：750

發(fā)布人：優(yōu)洱士電腦維修

勒索病毒規(guī)模攻擊用友暢捷通用戶，中毒終端超2000臺仍在上升

8月30日凌晨，針對用友暢捷通T+軟件客戶遭受勒索病毒攻擊一事，暢捷通方面在官方微信公號“暢捷通”發(fā)布了相關(guān)說明，稱僅有少數(shù)客戶受到影響，公司已安排技術(shù)工程師和服務(wù)商協(xié)助客戶解決問題。

有消息稱廣聯(lián)達(dá)、金蝶、管家婆、致遠(yuǎn)等軟件公司用戶也被勒索病毒攻擊，目前這些公司未對外發(fā)官方說明。針對此事記者采訪了廣聯(lián)達(dá)，截至發(fā)稿未有回復(fù)。

8月29日，有不少用戶反饋電腦里用友暢捷通T+中了勒索病毒，被病毒攻擊之后，文件被鎖無法打開。一位電腦被勒索病毒攻擊的用戶對經(jīng)濟(jì)觀察網(wǎng)表示，中了勒索病毒后要求是支付0.2個比特幣（約27439元人民幣）。這位被病毒攻擊用戶反饋，目前除了用友暢捷通軟件相關(guān)的文件，其他軟件文件還能打開。

電腦安全軟件開發(fā)商火絨安全軟件旗下的火絨安全實(shí)驗(yàn)室報(bào)告顯示，火絨工程師排查某勒索現(xiàn)場時(shí)發(fā)現(xiàn)，病毒模塊的投放時(shí)間與受害者使用的用友暢捷通T+軟件模塊升級時(shí)間相近，不排除黑客通過供應(yīng)鏈污染或漏洞的方式進(jìn)行投毒。

火絨安全實(shí)驗(yàn)室告訴經(jīng)濟(jì)觀察網(wǎng)記者，28號通過火絨威脅情報(bào)系統(tǒng)發(fā)現(xiàn)該病毒開始傳播，“在被投毒的現(xiàn)場中看到，后門病毒模塊位于用友暢捷通T+軟件的bin目錄中。目前中毒終端數(shù)量超過2000臺，數(shù)量仍在上升?！?/p>

360安全衛(wèi)士8月29日下午發(fā)布的勒索病毒的相關(guān)情報(bào)分析顯示，自2022年8月28日起發(fā)現(xiàn)勒索病毒，目前確認(rèn)來自該勒索病毒的攻擊案例已超2000余例，且數(shù)量仍在不斷上漲。

對于此次用戶被勒索病毒攻擊事件，經(jīng)濟(jì)觀察網(wǎng)向公開的用友董秘郵箱發(fā)送了采訪邀約，截至發(fā)稿未收到回復(fù)。董秘/投資者電話熱線工作人員表示，此事相關(guān)回應(yīng)以暢捷通微信公號發(fā)布的內(nèi)容為主。暢捷通發(fā)布的說明顯示，經(jīng)核實(shí)，部分客戶的軟件服務(wù)器為客戶自有部署方式，且未做必要的網(wǎng)絡(luò)安全防護(hù)。其中日常按系統(tǒng)提示進(jìn)行了數(shù)據(jù)備份的客戶已經(jīng)通過恢復(fù)備份數(shù)據(jù)解決，僅有少數(shù)客戶受到影響，公司已經(jīng)安排技術(shù)工程師和服務(wù)商積極協(xié)助客戶解決問題。

用友暢捷通官方說明

上述電腦被勒索病毒攻擊的用戶表示，今天凌晨用友暢捷通T+的各個版本都有更新補(bǔ)丁，但是對于已經(jīng)中毒的用戶問題還沒有解決，中毒的文件目前還無法打開。

對于已經(jīng)中毒的用戶，火絨安全實(shí)驗(yàn)室建議，首先隔離已經(jīng)被勒索的終端環(huán)境，保存被加密的文件，避免進(jìn)行格式化、重裝系統(tǒng)等操作，避免影響后續(xù)恢復(fù)文件；排查被攻擊的原因，通過日志信息進(jìn)行溯源及已經(jīng)受到攻擊的和未受到攻擊終端的網(wǎng)絡(luò)拓?fù)鋱D等特征；對內(nèi)網(wǎng)一些重要的數(shù)據(jù)服務(wù)器進(jìn)行排查,是否存在被攻擊現(xiàn)象；及時(shí)修改局域網(wǎng)中其他終端的設(shè)備口令以及軟件口令；及時(shí)更新軟件和系統(tǒng)以及打漏洞補(bǔ)丁。