网络第5域

勒索软件疑似借助用友畅捷通T+传播 可能是供应链攻击 请企业警惕

即黑客可能使用某些方式劫持用友畅捷通T+升级模块,导致用户尝试更新升级将后门模块下载到本地执行。目前用友并未就该问题发布声明,因此还无法确定到底'...

即黑客可能使用某些方式劫持用友畅捷通T+升级模块,导致用户尝试更新升级将后门模块下载到本地执行。目前用友并未就该问题发布声明,因此还无法确定到底是供应链攻击还是通过其他方式劫持导致企业中毒的。kis品论天涯网

企业用户应提高警惕:kis品论天涯网

使用用友畅捷通的主要都是企业,而且存储的可能都是财务之类的重要信息,中毒后被加密可能会有大麻烦。kis品论天涯网

火绒经过研究发现黑客首先会通过漏洞或其他方式向受害者终端投放后门模块,然后通过后门模块执行代码。kis品论天涯网

之后通过后门模块在内存中加载并执行勒索病毒,当文件被加密后黑客在勒索信里要求企业支付0.2比特币。kis品论天涯网

该病毒被命名为FakeTplus,也就是根据用友畅捷通T+来命名的,目前火绒安全软件已经可以成功查杀病毒。kis品论天涯网

使用畅捷通的企业可以在升级前安装火绒杀毒,这样如果升级时仍然存在安全问题火绒会直接杀掉这个后门。kis品论天涯网

疑似有企业支付赎金:kis品论天涯网

蓝点网查询火绒提供的勒索信,发现里面黑客留的地址已经开始有交易记录,交易记录时间与病毒投放吻合。kis品论天涯网

该地址有4次交易记录,有1次是笔0.2BTC转账,这意味着已经有受害企业向黑客支付赎金以换取解密密钥。kis品论天涯网

考虑到黑客可能会给每个受害者留不同的地址因此更难以追查,也无法判断黑客到目前已经收到多少比特币。kis品论天涯网

kis品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]