“燕云实验室”是河北千诚电子科技有限公司成立的网络安全攻防技术研究实验室。专注于web安全,网络攻防,安全运维,应急溯源方面的研究,开发成果应用于产品核心技术转化,国家重点科技项目攻关。
3月13日,多家企业发现在安装完“通达OA系统”某插件后,服务器内文件被病毒加密。相关工程师紧急调查研究后,最终在用户的“通达OA”目录中发现一个使用Go语言编写的勒索病毒。根据上述迹象,提醒“通达OA系统”用户注意加强安全防护,及时备份资料。目前。
根据分析,该勒索病毒在进入用户系统后会自动运行,并会尝试结束mysql.exe进程,再对.mdb、.sqlitedb、.doc、.docx、.xls、.xlsx、.ppt、.pptx等180种数据文件进行加密。
文件被加密后末尾被添加"1",并会在桌面生成文件名为"readme_readme_readme.txt"的勒索信,并索要0.3个比特币。
被加密的文件:
勒索字样:
通达OA紧急通知:
3月13日晚上,通达OA再次发布公告,提供了修复建议:
通达OA产品团队紧急制作了针对勒索病毒的安全加固程序。请广大用户立即下载更新:
V11版:http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe2017版:http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe2016版:http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe2015版:http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe2013增强版:http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe2013版:http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe
请根据当前OA版本选择所对应的程序文件,运行前请先做好备份,如不确定,请联系我们售后团队协助处理。
建议使用通达OA的企业,近期多关注官方公告,做好安全防护和数据备份措施。
声明
署名:CC BY-NC-SA 3.0 CN
文中所涉及的技术,思路和工具仅供以安全为目的的学习交流使用,请勿做非法用途否则后果自负。
文章转载自燕云实验室,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
