一、事件简介
2022年8月29日,发现恶意攻击者借助用友畅捷通T+传播的勒索病毒模块异常活跃(CryptFakeTP病毒)。传播量极大,攻击案例过千例,数量仍在上涨。
绿盟科技针对此病毒分析后发现,病毒模块的投放时间与受害者使用的用友畅捷通T+软件模块升级时间相近,疑似黑客通过供应链污染或漏洞的方式进行投毒。目前该病毒可通过绿盟终端安全系统ESS进行查杀。
二、病毒分析
经研究分析,黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意模块数据被AES算法加密的)。之后通过后门模块在内存中加载执行勒索病毒,在被投毒的现场中可以看到,后门病毒模块位于用友畅捷通T+软件的bin目录中。
在被投毒现场中,病毒模块的被投放时间,与受害用户使用的用友畅捷通T+软件模块升级时间相近。被勒索后,需要支付0.2个比特币(目前大概27439人民币)
三、解决方案
1、部署绿盟终端安全系统ESS
2、病毒库版本升级至2022.8.29.23
3、对用友系统服务器进行全盘扫描
4、对用友系统中的数据定期进行非本地备份。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。