據火絨安全實驗室發佈的消息,火絨監測到某勒索軟件突然爆發,後門模塊位於用友暢捷通T+軟件目錄裡。病毒爆發時間與用友暢捷通T+軟件升級模塊時間很近,火絨安全實驗室懷疑此安全問題可能是供應鏈攻擊。
即黑客可能使用某些方式劫持用友暢捷通 T+ 升級模塊,導致用戶嘗試更新升級將後門模塊下載到本地執行。目前用友並未就該問題發佈聲明 , 因此還無法確定到底是供應鏈攻擊還是通過其他方式劫持導致企業中毒的。
企業用戶應提高警惕:
使用用友暢捷通的主要都是企業,而且存儲的可能都是財務之類的重要信息,中毒後被加密可能會有大麻煩。
火絨經過研究發現黑客首先會通過漏洞或其他方式向受害者終端投放後門模塊,然後通過後門模塊執行代碼。
之後通過後門模塊在內存中加載並執行勒索病毒,當文件被加密後黑客在勒索信裡要求企業支付 0.2 比特幣。
該病毒被命名為FakeTplus,也就是根據用友暢捷通T+來命名的,目前火絨安全軟件已經可以成功查殺病毒。
使用暢捷通的企業可以在升級前安裝火絨殺毒,這樣如果升級時仍然存在安全問題火絨會直接殺掉這個後門。
疑似有企業支付贖金:
藍點網查詢火絨提供的勒索信,發現裡面黑客留的地址已經開始有交易記錄,交易記錄時間與病毒投放吻合。
該地址有4次交易記錄,有1次是筆0.2 BTC 轉賬,這意味著已經有受害企業向黑客支付贖金以換取解密密鑰。
考慮到黑客可能會給每個受害者留不同的地址因此更難以追查,也無法判斷黑客到目前已經收到多少比特幣。