400 186 1886
2022年8月29日,針對用友暢捷通T+企業用戶的勒索攻擊爆發,用友是中國領先的財務軟件提供商。據Gartner研究顯示,用友公司是全球企業級應用軟件(ERP)TOP10中唯一的亞太廠商,在全球ERP SaaS市場位居亞太區廠商排名第一(本數據引用自用友官網)。
360安全衛士發布微博稱,“自2022年8月28日起,目前確認來自該勒索病毒的攻擊案例已超2000余例,且該數量仍在不斷上漲。”360并未直接指出該廠商的名字,但公眾均認為他所說的就是財務廠商用友。
另一家安全廠商火絨也確認了該消息,在火絨工程師找到的中毒現場中,后門病毒模塊的被投放時間,與受害用戶使用的用友暢捷通T+軟件模塊升級時間十分接近,都是8月28日的22點02分,如圖所示:
(本圖來自火絨官網)
火絨和360的企業殺毒軟件升級后應該都可以查殺該病毒,但值得注意的是,該后門病毒還會投送勒索病毒,勒索病毒會加密中毒服務器上的所有數據,無法解密。
單單查殺病毒本身,并不能讓被加密的數據恢復正常。如果此前企業曾經進行過本地數據備份,可以嘗試求助用友官方進行數據恢復。但如果沒有備份的話,可能需要向攻擊者支付0.2個比特幣(大約人民幣2.7萬元)才能解密。
8月30日凌晨,用友官方在微博上發布了《關于少量暢捷通T+軟件用戶遭受勒索病毒攻擊的聲明》,在聲明重用友指出,中毒用戶為自行部署軟件服務器的用戶,未做必要的網絡安全防護。使用用友云服務器的公有云用戶未中毒。
在聲明中,用友未提及中毒用戶應該如何恢復數據。(在我看來,這是在推卸責任)
參考資料:
1、用友官方微博
2、360安全衛士微博
3、火絨安全軟件官網
