共计 1181 个字符,预计需要花费 3 分钟才能阅读完成。
2022 年 29 日 -30 日这两天,集中出现大量公司的财务软件无法使用,登录后台,发现文件被锁,并且被植入一个 REDME 的勒索信,大概内容如下:
根据火绒火绒安全实验室监测,疑似借助用友畅捷通 T + 传播的勒索病毒模块异常活跃(FakeTplus 病毒)。火绒工程师排查某勒索现场时发现,病毒模块的投放时间与受害者使用的用友畅捷通 T + 软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。火绒安全软件可成功查杀该病毒。
排查发现,黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意模块数据被 AES 算法加密的)。之后通过后门模块在内存中加载执行勒索病毒,根据火绒威胁情报系统统计得出病毒传播趋势,如下图所示:
在被投毒的现场中可以看到,后门病毒模块位于用友畅捷通 T + 软件的 bin 目录中,相关文件情况如下图所示:
某被投毒现场中,后门病毒模块的被投放时间,与受害用户使用的用友畅捷通 T + 软件模块升级时间相近,畅捷通 T + 软件更新的文件和恶意模块的时间对比图,如下图所示:
(以上分析内容来源:火绒安全实验室)
应对策略:
目前官方给出了下面紧急应对办法:
近日接到有客户反馈客户自有服务器电脑因网络安全漏洞等原因(如恶意木马、病毒邮件等)被命中勒索病毒。
常见中毒形式为计算机内的各类文件被加上.locked 后缀无法使用。
已中毒用户:
1、本地服务器先断网,若各类本地数据文件未备份,建议找相关专业人员,查找是否有备份和其他恢复手段;
2、若使用自有云服务器,可以先通过后台,将本台服务器进行镜像备份,再找相关专业人员,查找是否有备份和其他恢复手段;
3、检查 SQL 数据库文件是否被加密,如果没有被加密,请尽快备份 SQL 数据对于部分中毒的用户,根据技术同学的排查,发现有一些数据可以直接恢复,建议大家按照如下方式排查:
1、查看产品安装目录下(Chanjet\TPlusStd\DBServer\data)备份文件(zip 文件)有些没有 locked 成功,虽然有.locked 文件,但是大小 1k,说明没有成功。应该会同时存在原始文件,这些是可以使用的。
2、mdf 文件是否被 locked,如果没有被 locked,用 sqlserver 备份出文件来,找新环境重新系统安装产品建账,把备份文件恢复回去来恢复。不会恢复处理的,可以通过企业微信或者服务热线找到服务同学,我们会和研发同学一起配合帮助这部分客户。未中毒用户:
1、尽快使用安全月活动工具,进行检测加固;
2、使用本地服务器的用户,建议关闭公网访问,内网使用;
3、使用自购云主机的用户,请马上打开日常镜像备份,购买云服务器提供的安全防护服务
4、最最最重要的是!!!!请尽快进行数据备份,并且是多重备份,重要数据文件拷贝至 U 盘 \ 上传到网盘 \ 多份储存在不同的服务器环境中。
